Разработка положения о персональных данных работников. Соблюдаем закон о персональных данных: что надо учесть Персональные данные работника

Инспектор ГИТ проверит, утвердил ли работодатель Положение о работе с персональными данными. Как составить документ, чтобы его содержание соответствовало закону и готовый образец документа, ищите в статье.

В статье:

Скачайте документы по теме:

Положение о персональных данных работников:2020 образец

В процессе трудоустройства, а зачастую - даже раньше, еще на этапе предварительного анкетирования и собеседования, работник предоставляет работодателю определенные сведения, носящие личный характер. Такая информация относится к категории конфиденциальной и не подлежит разглашению третьим лицам. Более того, далеко не все виды сведений можно запрашивать - к примеру, вопрос о религиозной принадлежности или политических взглядах соискателя будет неуместным на любом собеседовании.

Работодателю разрешено интересоваться только теми аспектами личной жизни сотрудника, которые имеют непосредственное отношение к его работе и способны повлиять на качество ее выполнения.

Определение персональных данных содержится в законе №152-ФЗ от 27.07.2006 г. Это ключевой нормативной документ, на федеральном уровне закрепляющий основные нормы и принципы обращения с информацией личного характера. Согласно ст.3 закона №152-ФЗ, персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу). Субъект может предоставлять сведения о себе оператору - государственному или муниципальному органу, работодателю (юридическому или физическому лицу).

Положение о работе с персональными данными работников

Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта. Защита персональных данных обеспечивается законодательством РФ: вышеупомянутым федеральным законом №152-ФЗ, отдельными статьями Трудового, Уголовного и Гражданского кодексов РФ, а также ст. 5.39 и 13.11-13.14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Каждая компания, собирающая личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников. Так называется локальный нормативный акт, устанавливающий порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст. 87 ТК РФ. В сфере государственной гражданской службы разрабатывается «Положение о персональных данных государственного гражданского служащего и ведении его личного дела», как того требует указ президента РФ №609 от 30.05.2005 г.

Чтобы без ошибок оформить Положение об обработке персданных, используйте онлайн-сервис «Системы Кадры»

Воспользоваться сейчас

Основные виды сведений личного характера

Условно весь объем персональных данных о том или ином субъекте можно разделить на пять видов:

• общие;
• общедоступные;
• обезличенные;
• специальные;
• биометрические.

Общей информацией считаются паспортные данные человека (фамилия, имя, отчество, дата рождения, семейное положение), адрес, номер телефона, сведения о полученном образовании и т.д. Актуальное законодательство не содержит исчерпывающего перечня общих данных, зато весьма подробно перечисляет разновидности специальных данных, для которых установлены особые правила сбора, обработки и хранения. К ним относятся сведения о:

• состоянии здоровья;
• интимной жизни;
• наличии судимостей;
• вероисповедании;
• философских и политических убеждениях;
• расовой и национальной принадлежности.

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях - в целях медицинского (с непременным соблюдением врачебной тайны) или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это или сделал их общедоступными.

Шпаргалка. Когда персональные данные можно обрабатывать без согласия работника

Внимание! Общедоступной считается информация, размещенная владельцем в публичных источниках - газетах, журналах, адресных и телефонных справочниках, социальных сетях.

Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность. Иногда без них не обойтись. Типичный случай применения «биометрики» описывается в заметке «Может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима»: результаты дактилоскопии позволяют моментально идентифицировать работника, что очень важно при проведении мероприятий с ограниченным допуском.

Обрабатывать и хранить биометрические данные следует в соответствии с постановлением Правительства РФ №512 от 6.07.2008г. После достижения или утраты цели обработки биометрические, специальные и общие персональные данные должны обезличиваться. Установить принадлежность обезличенных сведений (например, обработанных результатов статистических отчетов и опросов) конкретному человеку невозможно.

Внимание! Данные, которые по объективным причинам не получается обезличивать, должны уничтожаться.

Составляя положение о персональных данных работников, не забудьте прописать правила обработки разных видов информации, в том числе - биометрической, если организация ее собирает и использует в работе.

Какие функции выполняет положение о защите персональных данных

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение , предоставление различных льгот и компенсаций, оформление налогового вычета - вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д. А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже).

Внимание! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Даже в пределах одной организации передавать личные сведения можно только в соответствии с локальным нормативным актом, с которым весь персонал должен предварительно ознакомиться под подпись. Необходимость такого ознакомления закреплена п. 8 ст. 86 ТК РФ.

Положение о персональных данных работников: образец структуры

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование. Данные можно уточнять, обновлять или изменять, извлекать и передавать. Если нет необходимости в использовании персонализированной информации, ее обезличивают или уничтожают. Поэтому положение о работе с персональными данными работников поделено на разделы, посвященные разным этапам обработки информации:

• общие положения;
• получение и систематизация;
• хранение;
• использование;
• передача;
• гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости - объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения. Но даже самое простое типовое положение о персональных данных работника представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Положение о персональных данных: порядок обработки и хранения информации

Разрабатывая положение о персональных данных, образец можно использовать как основу. Особое внимание следует уделить разделам, посвященным порядку сбора, систематизации и хранения информации. Чем подробнее прописан каждый пункт, тем лучше и безопаснее для работодателя. Если при проводится обязательное анкетирование соискателей, максимально точно опишите процедуру и перечислите конкретные виды запрашиваемых сведений:

Хранение любых носителей личной информации - бумажных, электронных и любых других - предполагает ограничение доступа к ним. В этих целях используются отдельные помещения, сейфы, запирающиеся шкафы, специальные папки и запароленные электронные базы данных. Запрашивать конфиденциальные сведения без особого разрешения может лишь ограниченный круг должностных лиц.

Все эти нюансы нужно внести в положение о защите персональных данных работников. Образец соответствующего раздела будет выглядеть примерно так:

Каждый работник имеет законное право знать, как именно и в каком объеме обрабатываются и используются его персональные данные, а также исправлять или исключать неверные, неполные или обработанные с нарушениями сведения о себе.

Положение о работе с персональными данными работников: образец оформления раздела о передаче сведений

Работодателю разрешается передавать сведения личного характера третьим сторонам, но только при определенных обстоятельствах - например, в целях предупреждения угрозы жизни и здоровью работника или в случаях, предусмотренных федеральными законами. При этом данные не становятся общедоступными, а конфиденциально передаются уполномоченному лицу.

Во всех остальных случаях действует норма, закрепленная ст.7 закона №152-ФЗ и требующая каждый раз, когда возникает такая потребность, запрашивать у субъекта . При этом данные передаются в ограниченном объеме, необходимом для выполнения конкретной функции и не более того.

Обязательно добавьте раздел о правилах передачи конфиденциальной информации в положение о персональных данных работников. Пример оформления раздела выглядит так:

Работодатель должен вести учет выдачи любых сведений личного характера, имеющих отношение к работникам предприятия. С этой целью заводится специальный журнал (книга) либо электронный документ. В идеале записи стоит дублировать, сохраняя и на электронных, и на бумажных носителях.

Как утвердить положение о персональных данных работников: образец приказа

Утвердить положение о защите персональных данных работников можно двумя способами: или же просто предусмотреть на бланке основного документа специальное поле для заверительных реквизитов. Работодатели, не желающие множить количество бумажной работы, обычно предпочитают второй способ и добавляют необходимые поля в «шапку» документа.

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных .

Если ранее работодателем применялась другая редакция положения, при введении в действие новой редакции как образец используется приказ об утверждении Положения о работе с персональными данными или любого другого локального акта.

Приказ об утверждении Положения о работе с персональными данными

Внимание! Если в организации есть юридический отдел или штатный юрисконсульт, рекомендуется согласовать с ним положение о защите персональных данных работников прежде, чем документ отправится для окончательного утверждения к руководителю предприятия.

Уведомление об обработке персональных данных

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора - извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году.

Сразу отметим, что требование об извещении распространяется не на всех работодателей. Согласно ст.22 закона №152-ФЗ, не обязаны составлять уведомление для Роскомнадзора организации, которые:

• обрабатывают полученные сведения в соответствии с трудовым законодательством;
• получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;
• получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;
• запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;
• относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

Ответственность за нарушение правил обработки сведений личного характера

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной ответственности , а в некоторых случаях - и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка.

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни. Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей. Пострадавшая сторона может через суд потребовать возмещения материального и морального ущерба, нанесенного неправомерными действиями должностного лица.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

Чтобы обрабатывать персональные данные сотрудников без штрафа от ГИТ, работодатель должен составить и утвердить Положение об обработке персональных данных сотрудника. Такое положение – обязательный документ, который должен быть в организации. Составьте Положение в произвольной форме и включите в него все особенности порядка обработки персональных данных в вашей компании. Готовый документ утвердите приказом работодателя.

Персональные данные - это различного рода информация, которая относится к определенному физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е. происходит их сбор, систематизация, накопление, хранение, передача, уничтожение и т.д. Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных. Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников. Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д. Важность этой области подтверждается тем, что в ТК РФ вопросам защиты персональных данных работников посвящена отдельная глава - гл. 14 «Защита персональных данных работника». О защите персональных данных в организациях расскажем в нашей консультации и приведем образец Положения о защите персональных данных работников 2017.

Политика обработки и защиты персональных данных работников

Общие требования к обработке персональных данных работника, а также вопросы защиты персональных данных на предприятии содержатся в ст. 86 ТК РФ .

Так, ТК РФ устанавливает, в частности, следующие аспекты обработки и защиты персональных данных:

• обработка персональных данных работника производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• все персональные данные работника нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
• работодатель должен за свой счет обеспечивать защиту персональных данных работника от неправомерного их использования или утраты;
• работодатель должен под роспись ознакомить работников и их представителей с порядком обработки персональных данных работников, а также с их правами и обязанностями в этой области.

При этом требования к защите персональных данных работников не могут рассматриваться в отрыве от вопросов передачи персональных данных. Так, работодатель при передаче персональных данных работника обязан соблюдать определенные требования.

К ним, в частности, относятся (ст. 88 ТК РФ):

• по общему правилу не сообщать персональные данные работника третьей стороне без письменного согласия работника;
• предупреждать лиц, которые получают персональные данные работника, что эти данные могут использоваться лишь в целях, для которых были сообщены;
• передавать персональные данные работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
• разрешать доступ к персональным данным работников лишь специально уполномоченным лицам;
• не запрашивать информацию о состоянии здоровья работника (кроме случаев, связанных с проверкой возможности выполнять работником трудовую функцию).

В то же время, согласие работника на передачу персональных данных требуется не всегда. Так, согласие не требуется, когда передача персональных данных необходима для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ) или необходима на основании других Федеральных законов (сюда относятся, к примеру, сведения в ПФР, ФСС, налоговые органы и т.д.).

Ответственность за нарушение требований по защите персональных данных

Ответственность за нарушения требований по обработке и защите персональных данных работника разнообразная. Она касается, как работников, так и самого работодателя.

К примеру, работник может быть уволен за разглашение ставших известными ему при исполнении своих трудовых обязанностей персональных данных другого работника. Ведь это будет считаться грубым нарушением работником своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

А, например, обработка персональных данных в случаях, не предусмотренных законодательством РФ, может повлечь штраф на должностных лиц от 5 000 до 10 000 рублей, а на организацию-работодателя - от 30 000 рублей до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Обращаем внимание, что штрафы с 01.07.2017 существенно выросли. Если раньше максимальный штраф на организацию за нарушение порядка сбора, хранения, использования или распространения персональных данных составлял 10 000 рублей, то с 01.07.2017 он вырос до 75 000 рублей.

Положение о защите персональных данных 2017: образец

Учитывая, что работники имеют право на полную информацию об их персональных данных и обработке этих данных, работодатель обязан ознакомить их с соответствующими документами (абз. 2 ст. 89 ТК РФ). Для этих целей может быть разработано Положение о защите персональных данных, с которым работодатель обязан знакомить всех вновь принимаемых работников.

Приведем Положения об обработке и защите персональных данных, размещенного в справочно-правовой системе КонсультантПлюс.

Положение о защите персональных данных работников — это базовый документ организации, который составляет правовую основу всей работы с данными такого рода. О содержании данного положения и работе с ним и расскажет предлагаемая нами статья.

Положение об обработке личных данных — требования законодательства

Часть 1 статьи 18.1 закона «О персональных…» от 27.07.2006 № 152-ФЗ указывает, что организации или иные субъекты (ИП, органы государственной или муниципальной власти), ведущие работу с личными данными граждан, обязаны принимать необходимые и достаточные меры, чтобы обеспечить выполнение требований как самого ФЗ № 152, так и принятых для его исполнения подзаконных актов. При этом перечень необходимых для выполнения подобных обязанностей мер организация вправе выбирать самостоятельно.

Та же часть 1 статьи 18.1 ФЗ № 152 содержит в себе приблизительный (но не исчерпывающий) перечень мероприятий, которые организация может использовать в ходе работы с личными данными. Пункт 2 части 1 статьи 18.1 ФЗ № 152 указывает, что одной из возможных мер является издание внутренних документов, которые будут определять политику организации в области работы с личными данными, а также иных нормативных актов, определяющих конкретный порядок работы сотрудников организации с таким сведениями.

Следует отметить, что политика организации — это преимущественно декларативный документ, который обозначает лишь общие черты мероприятий, которые будут приняты организацией для выполнения норм законодательства. Правовой основой для обработки личных данных в организации является положение о персональных данных работников.

Анализ статьи 18.1 ФЗ № 152 показывает, что принятие такого положения не является обязательным требованием. В то же время при проведении проверки соблюдения мер безопасности при работе с личными данными организация, согласно части 4 статьи 18.1 ФЗ № 152, должна предъявить такой документ проверяющим либо иным образом подтвердить факт соблюдения норм ФЗ № 152. Таким образом, наличие такого положения можно расценивать как бесспорное доказательство соблюдения требований, предъявляемых к работе с личными данными, поэтому организации все же желательно его разработать. При этом во исполнение требований части 2 статьи 18.1 ФЗ № 152 данное положение должно быть доступно для всеобщего ознакомления либо размещено на сайте организации.

Не знаете свои права?

Содержание положения, образец 2017 года

Перечень вопросов, которые должны быть урегулированы в положении, содержится в статье 18.1 ФЗ № 152. Как правило, они включаются в следующем порядке:

1. Общие положения. Здесь указываются:
   • цели и задачи действия положения;
   • ссылки на иные нормативные акты организации (приказы, инструкции, регламенты);
   • ситуации, когда данное положение подлежит применению;
   • ответственные за выполнение лица;
   • определения используемых в документе терминов и т. д.
2. Перечень и порядок применения технических, юридических и иных мер, направленных на защиту личных данных. В данном разделе отражаются:
   • вопросы допуска к носителям персональных данных,
   • порядок работы с ними,
   • требования к компьютерной технике, при помощи которой ведется работа с информацией, и т. д.
3. Порядок информирования (инструктажа) сотрудников организации, которые будут допущены к работе с личными данными.
4. Периодичность и перечень мероприятий, проводимых в рамках внутреннего или внешнего контроля за соблюдением положения.
5. Рамки ответственности сотрудников за нарушение требований положения.
6. Оценка возможного вреда и перечень мероприятий, которые могут минимизировать его или вовсе исключить вероятность его причинения.

При разработке положения организации следует учитывать также нормы:

• положения, введенного в действие постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687 (если в организации данные обрабатываются вручную с использованием бумажных или электронных носителей информации);
• требований к работе со средствами автоматизации, установленными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119 (при использовании компьютерной техники, передаче данных через интернет).

С образцом положения о защите персональных данных 2017 года вы можете ознакомиться на нашем сайте.

Особенности работы с положением

При непосредственной работе с положением о защите персональных данных работников следует помнить, что перечень ответственных за такую работу лиц (либо имеющих допуск к данным) утверждается отдельным приказом. Кроме того, если в организации используются унифицированные бумажные формы учета (книги, реестры, картотеки и т. д.), для их использования, согласно пункту 7 положения № 687, дополнительно требуется издание соответствующих инструкций по работе с ними. При этом стоит помнить, что в организации помимо обработки данных сотрудников часто требуется сбор и хранение данных клиентов и других граждан, поэтому действие положения может быть распространено и на работу с их личными данными.

Подводя итог, отметим, что разработка положения — это своеобразная страховка при проведении проверок организации со стороны Роскомнадзора и других контролирующих органов. Кроме того, положение позволяет упорядочить деятельность сотрудников при работе с личными сведениями, что повысит и степень защиты, и оперативность, и точность обработки.

Как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

• дата рождения;
• паспортные данные;
• адрес регистрации и проживания;
• номер СНИЛС;
• информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2020, рекомендуется придерживаться следующей структуры:

№	Раздел	Содержание
1	Основные положения	Цели документа, законы, порядок утверждения
2	Основные понятия	Определения понятий, упортребляемых в документе
3	Состав персональных данных работников	Перечень личных сведений
4	Обработка данных	Условия обработки информации
5	Комплекс документов	Перечень документов, содержащих личные сведения
6	Доступ к персональным данным	Порядок внешнего и внутреннего доступа к информации
7	Защита персональных данных	Комплекс мер для обеспечения безопасности конфиденциальных сведений
8	Права и обязанности работника	Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9	Ответственность за разглашение информации	Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2020

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается . Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ - ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

Персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр. Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

Получать личные данные работодатель может только из первых рук, то есть от самого человека. Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника. При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

• сохранение жизни и здоровья подчиненных;
• помощь в трудоустройстве и образовании;
• содействие карьерному росту;
• контроль за выполнением работником его трудовых функций;
• охрана материальных ценностей;
• соблюдение исполнения законов.

Ответственность за нарушения в работе с персональными данными

С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов. Такие изменения содержит Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

1. Использование персональных данных в не предусмотренных законодательством целях. Административное наказание — предупреждение или штраф: для физических лиц от 1 000 до 3 000 руб., для должностных лиц — от 5 000 до 10 000 руб., для юридических лиц — от 30 000 до 50 000 руб.
2. Обработка личных сведений без согласия работника. Сюда же относятся случаи, когда в подписанном сотрудником согласии нет перечня сведений, предусмотренных в ч. 4 ст. 9 закона . Административное наказание — штрафы: для физических лиц — от 3 000 до 5 000 руб., для должностных лиц — от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб.
3. Нарушение режима доступа к политике организации по обработке персональных данных. Работодатель обязан опубликовать в общедоступных источниках документ, в котором обозначена его политика в сфере защиты личной информации работников. Это предусмотрено п. 2 ст. 18.1 закона от № 152-ФЗ 27.07.2006, а с 1 июля будет отдельным правонарушением, которое влечет за собой ответственность в виде предупреждения или штрафов: для физических лиц — от 700 до 1 500 руб., для должностных лиц — от 3 000 до 6 000 руб., для ИП — от 5 000 до 10 000 руб. и для юридических лиц — от 15 000 до 30 000 руб.
4. Сокрытие от работника информации о целях, сроках и способах сбора, хранения и обработки информации, о третьих лицах, которые будут работать с личными сведениями по поручению работодателя, и пр. В таких случаях работодатель получает предупреждение или выплачивает штраф: физические лица — от 1 000 до 2 000 руб., должностные лица — от 4 000 до 6 000 руб., ИП — от 10 000 до 15 000 руб., юридические лица — от 20 000 до 40 000 руб.
5. Отказ работодателя заблокировать или уничтожить персональные данные согласно ст. 21 . Административная ответственность — предупреждение или штраф: для физических лиц — от 1 000 до 2 000 руб., для должностных лиц — от 4 000 до 10 000 руб., для ИП — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб.
6. Отсутствие средств автоматизации для хранения персональных данных, хранение информации только в бумажном виде. Если такой работодатель допустил уничтожение, утечку, несанкционированное копирование и/или распространение личных данных сотрудника, на него налагается штраф: на физических лиц — от 700 до 2 000 руб., на должностных лиц — от 4 000 до 10 000 руб., на ИП — от 10 000 до 20 000 руб., на юридическое лицо — от 25 000 до 50 000 руб.
7. Несоблюдение или нарушение процедуры обезличивания данных сотрудниками государственных и муниципальных органов власти (Приказ Роскомнадзора «Об утверждении требований и методов по обезличиванию персональных данных»). Административная ответственность в таком случае грозит должностному лицу в виде предупреждения или штрафа от 3 000 до 6 000 руб.

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого. А кроме того, с 1 июля 2017 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п. 58 ч. 2 ст. КоАП РФ).

Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

Как составить Положение о персональных данных

Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон , а также на ст. Трудового кодекса РФ.

В Положении о персональных данных стоит отразить:

1. Общие положения: цели и задачи организации в области защиты персональных данных, круг вопросов, которые регулирует Положение.
2. Состав персональных данных: сведения, которые работодатель использует в рамках трудовых отношений с работником, перечень документов, в которых такие данные содержатся.
3. Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц. Бланк согласия можно оформить как приложение к Положению.
4. Порядок передачи персональных данных как внутри организации, так и сторонним лицам и государственным органам. Здесь следует отразить законодательную норму передавать личную информацию о работнике третьим лицам только с его письменного согласия. Исключение — если это необходимо для защиты жизни и здоровья работника.
5. Перечень сотрудников, имеющих доступ к персональным данным. Чаще всего это специалисты кадровой службы, бухгалтеры, руководители структурных подразделений и пр.
6. Ответственность за разглашение личных данных сотрудников. В разделе стоит указать должности тех, кто несет ответственность за нарушение правил хранения, обработки и передачи персональных данных, а также виды ответственности, предусмотренные законодательством (об изменениях в этой сфере расскажем подробнее чуть ниже).

Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

Согласие на обработку персональных данных

Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 ):

• ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
• ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
• наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• цель обработки персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.

Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 ).

После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.