С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.
Персональные данные: особая информация
Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона № 152-ФЗ «О персональных данных»).
У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).
Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).
Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона № 152-ФЗ).
Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Как работодатель обязан защищать персональные данные
В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона № 152-ФЗ).
Также у работодателя должен быть официально назначен работник, который отвечающий за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.
Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).
Какая ответственность применяется к работодателям
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона № 152-ФЗ). Разберем каждую из этих видов ответственности.
Дисциплинарная ответственность
К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа.
За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):
Замечание;
выговор;
увольнение.
Материальная ответственность
Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.
При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.
Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе Роскомнадзор) в этом процессе участия не принимают.
Административная ответственность
За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:
Для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рубле;
для организации: от 5000 до 10 000 рублей.
Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.
Уголовная ответственность
Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:
Сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.
За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:
Штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
обязательные работы на срок до 360 часов;
исправительные работы на срок до одного года;
принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
арест на срок до четырех месяцев;
лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:
Штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
арестом на срок от четырех до шести месяцев;
лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).
Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.
Нарушение 1: обработка персональных данных в «иных» целях
С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность.
Или предупреждение;
или штрафы.
- на граждан - в размере от 1000 до 3000 руб.;
- на должностных лиц – 5000 до 10 000 руб.;
- на юридических лиц – от 30 000 до 50 000 руб.
Нарушение 2: обработка персональных данных без согласия
Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников.
Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона № 152-ФЗ):
ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие;
наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
подпись работника.
С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ.
За него возможны штрафные санкции:
На граждан - в размере от 3000 до 5000 руб.;
- на должностных лиц (например, директор, кадровик или ИП) – от 10 000 до 20 000 руб.;
- на организации - от 15 000 до 75 000 руб.
Нарушение 3: доступ к политике по обработке персональных данных
Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона № 152-ФЗ.
С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.
Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».
С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите.
Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:
На граждан - от 700 до 1500 руб.;
- на должностных лиц (например, директора или главбуха) - от 3000 до 6000 руб.;
- на индивидуальных предпринимателей - от 5000 до 10 000 руб.;
- на организации - от 15 000 до 30 000 руб.
Нарушение 4: сокрытие информации
Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона № 152-ФЗ):
1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением.
Оно влечет предупреждение или наложение административных штрафов:
На граждан – от 1000 до 2000 руб.;
- на должностных лиц (например, директора, кадровика или бухгалтера) - от 4000 до 6000 руб.;
- на индивидуальных предпринимателей – 10 000 до 15 000 руб.;
- на юридических лиц (организаций) – от 20 000 до 40 000 руб.
Нарушение 5: уточнения или блокировка
Статья 21 Федерального закона № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.
С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки).
Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:
На граждан - от 1000 до 2000 руб.;
- на должностных лиц (например, директора, кадровика или главбуха) - от 4000 до 10 000 рублей;
- на ИП - от 10 000 до 20 000 рублей;
- на юридических лиц – 25 000 до 45 000 руб.
Нарушение 6: сохранность персональных данных
Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия.
Если это произошло, то административная ответственность может наступить в виде административного штрафа:
На граждан - 700 до 2000 руб.;
- на должностных лиц (например, руководителя) - от 4000 до 10 000 руб.;
- на индивидуальных предпринимателей - от 10 000 до 20 000 руб.;
- на организаций – от 25 000 до 50 000 руб.
Нарушение 6: обезличивание
В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона № 262-ФЗ).
Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона № 152-ФЗ).
С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.
Получается, что административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.
До 1 июля 2017 года максимально возможный административный штраф составлял для организаций – 10 000 рублей. И состав нарушения в статье 13.11 КоАП РФ был одним.
Привлекать к ответственности станет проще
До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.
"Отдел кадров коммерческой организации", 2012, N 8
РАЗРАБАТЫВАЕМ ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные работника - это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. В статье расскажем, как разработать Положение о персональных данных, что в него включить и на что еще обратить внимание.
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Помимо таких данных, как фамилия, имя, отчество, возраст, образование, место жительства, семейное положение, национальность, к персональным данным можно отнести религиозные и политические убеждения, сексуальную ориентацию и т. п. Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это, в первую очередь, информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). То есть работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности. И когда в некоторых организациях на собеседованиях с претендентами задают подобные вопросы, тем самым нарушается право на неприкосновенность частной жизни.
В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств.
Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.
Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа - обо всем этом говорится в положении о персональных данных (далее - Положение), которое должно быть разработано в каждой организации.
К сведению. Для государственных учреждений положения разрабатываются нормативными правовыми актами. Так, Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.
Порядок утверждения Положения
Если в организации есть профсоюз, Положение утверждается с учетом его мнения в порядке, определенном ст. 372 ТК РФ (если данное требование установлено коллективным договором или соглашением): работодатель направляет проект положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения отсылает работодателю мотивированное мнение по проекту в письменной форме. Если оно не содержит согласия с проектом положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения. При недостижении согласия оформляется протокол разногласий, после чего работодатель имеет право принять Положение, но оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора.
Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом. Если же нет ни того, ни другого, работодатель утверждает положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Как правило, принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом работодателя.
Приведем примерный образец такого приказа.
Общество с ограниченной ответственностью
Приказ N 203
об утверждении Положения о персональных данных
работников ООО "САТУРН"
Во исполнение гл. 14 ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других действующих нормативно-правовых актов, а также в целях приведения локальных нормативных актов ООО "САТУРН" в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 26.06.2012 Положение о персональных данных работников ООО "САТУРН" (далее - Положение).
2. Менеджеру по персоналу Кукиной Л. А. до 29.06.2012 довести Положение до сведения всех сотрудников организации под роспись.
3. До 27.06.2012 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО "САТУРН" (по форме Приложения N 1 к Положению).
4. Местом хранения Положения определить кабинет отдела кадров организации.
5. Контроль исполнения данного приказа оставляю за заместителем генерального директора - директором по персоналу Максимовой Н. В.
Генеральный директор Королев /В. В. Королев/
С приказом ознакомлены:
Менеджер по работе с персоналом Кукина /Л. А. Кукина/
Директор по персоналу Максимова /Н. В. Максимова/
Сотрудников организации необходимо ознакомить с Положением под роспись, а вновь принимаемых на работу лиц следует в силу ст. 68 ТК РФ знакомить с Положением до подписания трудового договора. Что касается работников, участвующих в обработке персональных данных, ознакомить их с Положением недостаточно - они должны дать обязательство о неразглашении персональных данных.
Сведения, относящиеся к персональным данным, порядок их получения;
Перечень лиц, имеющих право доступа к персональным данным, их права и обязанности, режим доступа к таким данным;
Способы защиты персональных данных;
Права работника и работодателя в области обработки персональных данных;
Порядок ознакомления работника с его персональными данными, получения копий документов, их содержащих;
Ответственность за нарушение норм по обработке персональных данных.
Приведем образец Положения.
Общество с ограниченной УТВЕРЖДАЮ
ответственностью "САТУРН" Генеральный директор
(ООО "САТУРН") ООО "САТУРН"
В. В. Королев
"--" ------ 20-- г.
ПОЛОЖЕНИЕ
о персональных данных работников ООО "САТУРН"
1. Общие положения.
1.1. Положение о персональных данных работников ООО "САТУРН" (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО "САТУРН" (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных.
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Дату рождения;
Семейное положение;
Наличие детей, их даты рождения;
Воинскую обязанность;
Место жительства и контактный телефон;
Образование, специальность;
Стаж работы по специальности;
Предыдущее(ие) место(а) работы;
Факт прохождения курсов повышения квалификации;
Наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента представления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со ст. 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, представляемых работником. По мере необходимости работодатель истребует у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму N Т-2 "Личная карточка работника" и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел заместитель генерального директора - директор по персоналу.
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
Личная карточка формы N Т-2;
Копия трудовой книжки;
Паспорт (копия);
Документ об образовании (копия);
Военный билет (копия);
Свидетельство о регистрации в налоговом органе (ИНН) (копия);
Пенсионное свидетельство (копия);
Свидетельство о заключении брака (копия);
Свидетельство о рождении детей (копия);
Копия документа о праве на льготы (удостоверение почетного донора, медицинское заключение о признании лица инвалидом, др.);
Результаты медицинского обследования (в случаях, установленных законодательством);
Документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных.
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфавитном порядке.
3.2. Личные дела регистрируются в журнале учета личных дел, который ведется в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передается в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
Подлинники и копии приказов (распоряжений) по кадрам;
Приказы по личному составу;
Материалы аттестаций и повышения квалификаций работников;
Материалы внутренних расследований (акты, докладные, протоколы и др.);
Копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
3.5. Персональные данные работников также хранятся в электронном виде на локальной компьютерной сети. Доступ к электронным базам данным, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавливает системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется охранной системой и камерой видеонаблюдения.
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным.
4.1. Доступ к персональным данным работников имеют:
Учредители Общества;
Генеральный директор;
Заместитель генерального директора;
Финансовый директор;
Директор по персоналу;
Главный бухгалтер;
Начальник отдела безопасности;
Руководители структурных подразделений (только к данным работников своего подразделения);
Специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников.
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Федерального закона N 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
Персональные данные являются общедоступными;
Персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
Обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
Обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
По требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных по форме Приложения N 1 к настоящему Положению.
6. Права и обязанности работника в области защиты его персональных данных.
6.1. Работник обязуется представлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
Свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
Определение своих представителей для защиты своих персональных данных;
Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных.
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (Приложение N 2 к Положению).
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
8. Ответственность за нарушение норм, регулирующих обработку персональных данных.
8.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, - влекут наложение на него дисциплинарного взыскания (выговора, увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
Приложение N 1 к Положению о персональных данных
работников ООО "САТУРН"
Обязательство о неразглашении персональных данных работников
ООО "САТУРН"
с Положением о персональных данных работников ООО "САТУРН" ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей.
Об ответственности за разглашение персональных сведений работников предупрежден(а).
(подпись)
Приложение N 2 к Положению о персональных данных
работников ООО "САТУРН"
Генеральному директору
ООО "САТУРН"
В. В. Королеву
от ________________________,
(фамилия, имя, отчество)
зарегистрированного по адресу
_____________________________
паспорт _____________________
Согласие
на передачу персональных данных третьей стороне
Я, ____________________________________________________________________
(фамилия, имя, отчество, должность)
в соответствии с абз. 1 ч. 1 ст. 88 ТК РФ
даю согласие Обществу с ограниченной ответственностью "САТУРН" (ООО "САТУРН"), расположенному по адресу ________________, на предоставление в ПФР следующих моих персональных данных:
Ф. И.О., дата рождения;
Номер свидетельства государственного пенсионного страхования;
Размер заработной платы;
Размер начисленных и уплаченных страховых взносов.
Настоящее согласие действительно в течение одного года с момента его получения.
_______________ "__" ______________ ____ г.
(подпись)
Заключение
Отметим, что документы, в которых закрепляются положения о вопросах обработки и защиты персональных данных, могут стать объектом проверки контролирующих органов, в частности сотрудников Роскомнадзора. Поэтому работодателю следует ответственно подойти к их разработке.
В заключение дадим несколько советов работодателям по оформлению локальных документов, регламентирующих работу с персональными данными сотрудников:
1. Разрабатывая документы, необходимо указывать конкретные нормы закона, на основании которых работодатель обрабатывает персональные данные.
2. Запрашивая с работника согласие на обработку его персональных данных, кроме нормы закона следует указывать цели, для которых они запрашиваются.
3. Помимо Положения в некоторых случаях нужно издавать приказы работодателя. Например:
Об установлении лиц, имеющих право доступа к персональным данным;
О назначении лиц, ответственных за защиту персональных данных;
О мерах, принимаемых для обеспечения безопасности персональных данных.
4. В Положении закрепляется четкий и подробный перечень сведений, которые являются персональными, а также конкретные способы обработки персональных данных, установленные ст. 3 Закона N 152-ФЗ и применяемые в организации (сбор, систематизация, хранение и т. д.).
5. Указывайте периоды совершения действий с персональными данными. Например, в согласии работника следует указать, что он дает согласие на передачу своих данных в течение одного месяца (или одного года и т. д.).
6. При разработке Положения можно использовать Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Л. В.Куревина
Эксперт журнала
"Отдел кадров
коммерческой организации"
Подписано в печать
Прием сотрудников на работу сопровождается сбором у них персональных данных, которые в последующем требуются для заполнения многих документов, например, и другие значимые документы. Правила обращения с персональными данными работниками определяется на основании локальных нормативных актов, одним из них является положение о персональных данных.
К персональным данным конкретного лица относится любая информация, которая может относиться к нему как в прямом виде, так и в косвенном. Так например, к таким данным относится: фамилия, имя и отчество, место жительство гражданина, образование, возврат, национальность, семейное положение и т.д. Помимо этого к персональным данным также относится и политические и религиозные убеждения, сексуальная ориентация и т.п. (ст.3 федерального закона «О персональных данных» №152-ФЗ от 27.07.2006).
Если говорить о трудовой сфере, то в этом случае персональными данными будут являться те сведения, которые требуются организации для заключения и ведения с гражданином трудовых отношений. В основном это сведения о состоянии здоровья, квалификации, специальности и образовании, наличии семьи и ее состав (количество детей). При этом на основании права о неприкосновенности частной жизни работодатель не вправе запрашивать данные об национальности гражданина или его вероисповедании.
В соответствии с ТК РФ ст. 85 работодатель на стадии приема, а также в ходе трудовой деятельности обрабатывает персональные данные сотрудников, что в свою очередь подразумевает получение, хранение, передачу и иное их применение. Помимо это в обязанности работодателя входит защита персональных данных от утраты, неправомерного использования согласно ТК РФ ст. 86 п.7 и федеральным законам, за счет собственных средств.
Как правило, обработка и хранение данных производится одновременно как на бумажных носителях, так и с применением электронной системы хранения. Положение о персональных данных описывает кто имеет право доступа к таким данным сотрудника, как осуществляется на предприятии их защита и другие важные моменты.
Государственные учреждения должны применять разработанные и утвержденные нормативные акты на основании Указа Президента РФ под номером 609 от 30.05.2005, таким является и данное положение для государственных гражданских служащих.
Важно! При сборе личных данных сотрудника необходимо получить от него , пишется оно в виде соответствующего заявления.
Порядок утверждения положения
При наличии профсоюзной организации Положение должно утверждаться с учетом ее мнения согласно порядка, определенного ТК РФ ст. 372 (если такое требование установлено соглашением или коллективным договором): документ направляется работодателем в профсоюз организации, после чего выборный орган должен предоставить в течение 5 рабочих дней с момента получения мотивированное мнение по данному проекту, написанное в письменном виде. При наличии разногласий они должны быть указаны.
Если разногласия отсутствуют, то утвердить положение работодатель может в течение 3- рабочих дней с момента ответа. При наличии разногласий или дополнений необходимо провести дополнительную консультацию в выборным органом профсоюзной организации и принять взаимоприемлемый вариант. Если работодатель принимает положение не достигнув договоренности с профсоюзом, то документ может быть обжалован в суде или инспекции по труду.
При отсутствии представительного органа или профсоюза, то работодатель имеет право самостоятельно утвердить положение, в соответствии с принятым порядком, описанным в локальных нормативных актах. Акты согласовываются с отделом кадров, юристом, главным бухгалтером или другими работниками. Положение утверждается на основании соответствующего приказа руководителя.
Общий порядок составления данного документа схож с оформление других положений и нормативных актов. Рекомендуется, чтобы положение включало в себя следующие сведения:
- Информацию по порядку получения персональных данных.
- Перечень лиц, которые имеют право доступа к персональным данным, режим доступа, а также их права и обязанности.
- Порядок защиты личных данных сотрудников.
- Порядок получения копий необходимых документов сотрудникам, порядок ознакомления с их содержанием.
- Мера ответственности за нарушения норм по осуществлению обработки персональных данных.
- В качестве приложение могут быть приложены: бланк согласие на обработку персональных данных, обязательство о неразглашении данных, согласие на передачу данных третьим лицам.
Все сотрудники должны быть ознакомлены с данным документом под роспись, а новые работники должны ознакомиться с положением до момента заключения (согласно ТК РФ ст. 68). Сотрудники, занимающиеся обработкой данных должны подписать .
Нюансы
Отметим, что в определенных случаях положения, которые описывают порядок обработки, хранения и защиты данных могут потребоваться контролирующим органам для решения конфликтов с работниками, в частности это может быть Роскомнадзор. В связи с этим к подготовке и ведению этих документов следует относиться должным образом.
Некоторые советы по подготовке положения:
- При разработки данного документа следует опираться на конкретные нормы законов, также следует указать цели, для которых собираются данные.
- Кроме положения в определенных случаях желательно оформлять дополнительные документы:
- Приказ об установлении лиц, которые имеют право доступа к данным.
- Приказ о назначении ответственного лица за сохранность данных.
- Приказ о назначении мер обеспечивающих безопасность и сохранность данных.
- Документ должен содержать подробный и четкий перечень сведений, являющихся персональными, в том числе способы их обработки.
- Желательно указывать конкретный период совершения действий с данными (месяц, один год и т.д.).
- В качестве основы для документа можно применять Положения, утвержденное Постановление Правительства №678 от 15.09.2008.
При устройстве на работу каждый сотрудник предоставляет своему работодателю свои личные (персональные) данные. Во избежание спекуляции и неправомерного использования законодательство России предусмотрело специальную норму, которая гарантирует каждому гражданину сохранность предоставленных сведений и их защиту. Регламентируют эти нормы несколько законодательных актов РФ:
- Конституция РФ;
- Федеральный Закон (дальше ФЗ) №152;
- Трудовой Кодекс (ТК) ст. 85;
- отдельные Постановления Правительства РФ (в основном по отношению к работникам, находящимся на гос. службе).
Сегодня предлагаем поближе ознакомиться с рядом регламентов в этой сфере в предложенной публикации.
Положение о защите персональных данных работников 2018 образец скачать
Единый документ, который бы полностью регламентировал вопросы защиты и хранения личных данных, в законодательстве страны отсутствует. Не закреплена в законе и специальная терминология, которая бы полностью отображала суть – что является персональными данными, а что нет. С одной стороны, Конституция страны гарантирует неприкосновенность к частной жизни гражданина, с другой не совсем ясно, что можно и нужно назвать личными данными и где грань между частной/личной жизнью и этими самыми личными данными. Поэтому каждый работодатель вынужден хранить и следить за изменением в ряде государственных законов каждый год.
Для решения части озвученных проблем (защита и хранение личной информации работника) в середине текущего года (конкретнее с сентября) вступило в силу новое положение в ФЗ №152 («Закон о защите и хранении персональных сведений»). Скачать положение и новую редакцию закона можно по предложенной ссылке.
Право и порядок доступа к личным данным сотрудника
Нормативно-правовые акты содержат сжатое описание того, что является личными данными в разрезе сотрудник-работодатель: таковыми является любая информация имеющая отношение к определенному работнику, собранная работодателем в связи с трудовыми отношениями. Эти нормы прописаны в ТК РФ ст. ст. 85 и 86.
ФЗ РФ №152 ст.3 (закон о хранении и защите данных) дает более детальное описание того, что конкретно относится к персональным данным:
- доход гражданина;
- место проживания;
- имущественное, социальное или семейное положение, включая личные контакты и пр. данные второй стороны;
- дата и место его рождения;
- профессиональные навыки и образование;
- иная информация.
Работодатель обязан собрать, хранить и обработать данные работника в полном соответствии с регламентом, прописанным в законодательстве страны.
Использование персональных данных в рабочих целях
ТК РФ предписывает в рамках предприятия составить специальный документ, который должен регламентировать все вопросы относительно хранения и/или распоряжения персональными данными своих работников. Отметим, что передача сведений третьим лицам преследуется по закону (закон о хранении и защите личных данных), если иной порядок не предусмотрен трудовым соглашением. Утверждение и разработка типовых документов в установленном порядке юрисдикция ответственных лиц за документооборот организации (приложение к договору).
Обработка, хранение и защита персональных данных сотрудников организации
Работодатель при обработке персональных данных работников руководствуется положениями закона о хранении и защите личной информации каждого работающего человека на определенном предприятии, а также соискателей и даже умерших сотрудников. Отметим, что персональные данные не ограничены сроком действия трудовых соглашений (типового договора или контракта), они остаются на предприятии и после увольнения, смерти работника, а запрашиваются у работника лично с подписью о согласии на обработку представленных сведений. Действующие законы РФ охватывают все ступени обработки, хранения и защиты персональных данных, вплоть до их полной утилизации.
Но, повторимся, в любом случае передача данных третьим лицам без согласия гражданина не представляется возможной, иначе это будет расценено как разглашение конфиденциальной информации и нарушение правил хранения и защиты личной информации будет наказываться согласно действующему закону РФ (обычно это штрафные санкции 5-500 МРОТ).
Приказ о назначении ответственного за хранение личных данных работников
В стандарте все поступающие сведения хранятся у кадровиков организации. Именно они несут главную ответственность за хранение и защиту персональных данных. Однако без приказа руководителя предприятия ни один сотрудник не может быть допущен к таким сведениям. Приказ издается в полном соответствии с регламентом законов России.
Посредством такого документа руководитель может устанавливать ответственных лиц за сбор, хранение и защиту данных работников или воспитанников (если речь об учреждениях образования и культуры, типовой бланк должен подписать каждый обучающийся), определять руководителя проекта, выставлять требования по распоряжению сведениями в рамках российских компаний (исключение международные соглашения и пр.) и пр.
Документ о защите персональных данных работников положение
УТВЕРЖДАЮ ____________________________________ (наименование должности руководителя предприятия)
____________________________________ (Ф.И.О., подпись)
"____"___________________ _____ г.
ПОЛОЖЕНИЕ
об обработке и защите персональных данных работников
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с предприятием.
1.2. Цель настоящего Положения - защита персональных данных работников предприятия от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой кодекс РФ, другие действующие нормативно-правовые акты РФ.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводятся приказом по предприятию. Все работники предприятия должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. Состав персональных данных работника:
Автобиография;
Образование;
Сведения о трудовом и общем стаже;
Сведения о предыдущем месте работы;
Сведения о составе семьи;
Паспортные данные;
Сведения о воинском учете;
Сведения о заработной плате сотрудника;
Сведения о социальных льготах;
Специальность;
Занимаемая должность;
Размер заработной платы;
Наличие судимостей;
Адрес места жительства;
Домашний телефон;
Подлинники и копии приказов по личному составу;
Личные дела и трудовые книжки сотрудников;
Основания к приказам по личному составу;
Копии отчетов, направляемые в органы статистики;
Копии документов об образовании;
Результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
Фотографии и иные сведения, относящиеся к персональным данным работника;
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении ____ лет срока хранения, если иное не определено законом.
3. ОБЯЗАННОСТИ РАБОТОДАТЕЛЯ
3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.1.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.
3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.8. Работники и их представители должны быть ознакомлены под роспись с документами предприятия, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
4. ОБЯЗАННОСТИ РАБОТНИКА
Работник обязан:
4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ.
4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
5. ПРАВА РАБОТНИКА
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
6. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных работника - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами. Предоставление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.5. При поступлении на работу работник заполняет анкету и автобиографию.
6.5.1. Анкета представляет собой перечень вопросов о персональных данных работника.
6.5.2. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.5.3. Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника.
6.5.4. Автобиография составляется в произвольной форме, без помарок и исправлений.
6.5.5. Анкета и автобиография работника должны храниться в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.5.6. Личное дело работника оформляется после издания приказа о приеме на работу.
6.5.7. Все документы личного дела подшиваются в обложку образца, установленного на предприятии. На ней указываются фамилия, имя, отчество работника, номер личного дела.
6.5.8. К каждому личному делу прилагаются две цветные фотографии работника размером ______.
6.5.9. Все документы, поступающие в личное дело, располагаются в хронологическом порядке. Листы документов, подшитых в личное дело, нумеруются.
6.5.10. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СОТРУДНИКА
8.1. Внутренний доступ (доступ внутри предприятия).
Право доступа к персональным данным сотрудника имеют:
Руководитель предприятия;
Руководитель отдела кадров;
Руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения) по согласованию с руководителем предприятия;
При переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;
Сотрудники бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
Сам работник, носитель данных.
8.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
Налоговые инспекции;
Правоохранительные органы;
Органы статистики;
Страховые агентства;
Военкоматы;
Органы социального страхования;
Пенсионные фонды;
Подразделения муниципальных органов управления.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работниками отдела кадров, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятиях.
9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
10. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,
СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Начальник отдела кадров: ______________
