Что такое персональные данные
Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.
Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.
Как составить согласие на обработку персональных данных, смотрите в здесь.
См. также «Пропуск с фото может повлечь штраф за персональные данные».
Обработка и защита персональных данных
Федеральный закон № 152 «О персональных данных» регламентирует взаимодействия сотрудников фирм и отношения, связанные с обработкой предоставляемых работниками сведений. Такие персональные данные являются информацией о конкретном человеке в какой-либо сфере общественной жизни. Чаще всего этот термин можно услышать, устраиваясь на работу в компанию.
Согласно законодательству РФ, персональные данные могут содержать в себе следующие сведения:
- дата рождения;
- уровень дохода;
- документ об образовании;
- семейный статус;
- род деятельности;
- сведения о доходах;
- место регистрации;
- ФИО работника;
- социальный статус.
Кроме того, рекомендуется указывать философские и политические взгляды, расовую принадлежность лица и религиозное мировоззрение.
Обработкой и сбором информации занимается Роскомнадзор. Если права работника были нарушены и его персональные данные были разглашены, то виновное лицо может понести административную или уголовную ответственность.
Для чего нужно положение о работе с персональными данными
Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.
Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.
Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.
Функции положения
У работодателя должна хранится вся информация о физическом, психологическом и документальном состоянии работника. Но часто эти сведения находятся под угрозой распространения в неблагоприятных случаях. Именно поэтому положение о защите персональных данных призвано выполнять следующие функции:
- Регулирует взаимоотношения работника и работодателя;
- Разъясняет запрет распространения данных и предоставления к ним доступа другим лицам;
- Защищает права и интересы сотрудника фирмы в непредвиденных ситуациях;
- Наказывает по закону граждан, нарушивших данное положение.
Таким образом, данный документ обеспечивает безопасность граждан и гарантирует неразглашение информации об их частной жизни.
Положение о персональных данных работников: структура документа
Рассматриваемый документ содержит локальные нормы, определяющие:
- цели и задачи фирмы при работе с персональными данными;
- перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
- описание операций с данными, практикуемых компанией;
- способы доступа к данным, используемые в фирме;
- обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
- права сотрудников фирмы на приобретение санкционированного доступа к данным;
- правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.
Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:
- устанавливающим общие положения документа;
- фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
- определяющим перечень ключевых операций с персональными данными;
- регламентирующим осуществление соответствующих операций;
- определяющим порядок доступа работников фирмы и иных лиц к данным;
- устанавливающим обязанности сотрудников, участвующих в операциях с данными;
- устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
- определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.
Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в
Обществе с ограниченной ответственностью «КРЫМ-ПРОЕКТ»
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников и клиентов предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с предприятием. Под клиентами подразумеваются лица, заключившие договор с предприятием.
1.2. Целью данного Положения является защита персональных данных работников и клиентов ООО «КРЫМ-ПРОЕКТ» от несанкционированного доступа, разглашения, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании Конституции РФ, Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
1.3. Персональные данные работников относятся к категории конфиденциальной, строго охраняемой информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом. По истечении срока хранения бумажные носители, содержащие персональные данные работников, сдаются в архив.
1.4. Действия по обработке персональных данных клиентов включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
1.5. Настоящее Положение утверждается и вводится в действие приказом Директора и является обязательным для исполнения всеми должностными лицами ООО «КРЫМ-ПРОЕКТ», имеющими доступ к персональным данным.
1.6. Должностные лица ООО «КРЫМ-ПРОЕКТ», имеющие доступ к персональным данным работников и клиентов в соответствии с п. 4.1 настоящего Положения, должны быть ознакомлены с настоящим Положением под расписку.
- ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. В состав персональных данных работника включаются:
а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
б) служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях.
2.3. Документами, содержащие персональные данные, являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
д) документы воинского учёта;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) карточка Т-2;
з) автобиография;
и) личный листок по учёту кадров;
к) медицинское заключение о состоянии здоровья;
л) документы, содержащие сведения о заработной плате, доплатах и надбавках;
м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
н) другие документы, содержащие сведения, предназначенные для использования в служебных целях.
- СОЗДАНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ.
3.1. Документы, содержащие персональные данные работника, создаются путём:
а) копирования оригиналов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство);
б) внесения сведений в учётные формы (на бумажных и электронных носителях);
в) получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография, медицинское заключение).
3.2. Сведения, содержащие персональные данные работника, включаются в его личное дело, карточку формы Т-2, а также содержатся на электронных носителях информации, доступ к которым разрешён лицам, непосредственно использующим персональные данные работника в служебных целях. Перечень должностных лиц, имеющих право доступа к персональным данным работников, определён в пункте 4.1 настоящего Положения.
3.3. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
3.4. В целях обеспечения прав и свобод человека и гражданина ООО «КРЫМ-ПРОЕКТ» и его должностные лица при обработке персональных данных работника обязаны соблюдать следующие требования:
3.4.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.4.2. При определении объема и содержания обрабатываемых персональных данных работника должностные лица, имеющие доступ к персональным данным в соответствии с п. 4.1 настоящего Положения, должны руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
3.4.3. Персональные данные должны быть получены лично у работника. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо, осуществляющее получение персональных данных, должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.4.4. Должностные лица, имеющие доступ к персональным данным, не имеют права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.4.5. Должностные лица, имеющие доступ к персональным данным, не имеют права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.5. При принятии решений, затрагивающих интересы работника, должностные лица ООО «КРЫМ-ПРОЕКТ» не имеют права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.4. Хранение персональных данных работников осуществляется следующим образом:
3.4.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу, установленном на рабочем месте директора.
3.4.2. Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК директора.
3.4.3. Персональные данные, включённые в состав личных дел, хранятся в запираемом шкафу, установленном на рабочем месте директора. Персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК директора.
3.4.4. Трудовые книжки, карточки формы Т-2 хранятся в запертом металлическом сейфе.
3.4.5. Доступ к электронным и бумажным носителям, содержащим персональные данные, строго ограничен кругом лиц, определённых в пункте 4.1 настоящего Положения.
- ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ ПРОЕКТНОЙ ОРГАНИЗАЦИИ
4.1. Оператор обрабатывает персональные данные клиентов проектной организации в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ.
4.2. Оператор обрабатывает персональные данные клиентов проектной организации с целью:
— оказывать услуги по предоставлению проектного продукта.
4.3. Оператор обрабатывает персональные данные клиентов проектной организации с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
4.4. Оператор обрабатывает персональные данные клиентов проектной организации в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные клиентов проектной организации после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.
4.5. Оператор обрабатывает следующие персональные данные клиентов проектной организации:
- Фамилия, имя, отчество;
- Тип, серия и номер документа, удостоверяющего личность;
- Дата выдачи документа, удостоверяющего личность, и выдавшем его органе;
- Адрес;
- Номер контактного телефона;
- Адрес электронной почты.
- ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
5.1. Внутренний доступ (работники ООО «КРЫМ-ПРОЕКТ»).
Доступ к персональным данным работников имеют следующие должностные лица, непосредственно использующие их в служебных целях:
а) Директор ООО «КРЫМ-ПРОЕКТ»;
б) Главный инженер проекта;
в) Секретарь-делопроизводитель
5.1.1. Уполномоченные лица имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией. Все остальные работники имеют право на получение полной информации только о своих персональных данных и их обработке.
5.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.
5.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных законом.
5.2. Внешний доступ (другие организации и граждане).
Сообщение сведений о персональных данных работников другим организациям и гражданам разрешается при наличии письменного согласия работника и заявления подписанного руководителем организации либо гражданином, запросившим такие сведения.
5.2.1. Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
а) в целях предупреждения угрозы жизни и здоровью работника;
б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
5.2.2. Работник, о котором запрашиваются сведения, должен быть уведомлен о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
5.2.3. Запрещается передача персональных данных работника в коммерческих целях без его согласия.
5.2.4. Передача сведений, содержащих персональные данные работника, его представителю осуществляется только при наличии надлежащим образом оформленной Доверенности представителя.
- ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. При передаче персональных данных с соблюдением условий, предусмотренных разделом 4 настоящего Положения, уполномоченные должностные лица обязаны предупредить лиц, которым передаются сведения, об ответственности в соответствии с законодательством Российской Федерации.
6.2. В целях обеспечения защиты персональных данных, хранящихся в личных делах, работники имеют право:
а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Работник при отказе уполномоченного должностного лица исключить или исправить указанные персональные данные имеет право заявлять в письменной форме Генеральному директору о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
г) требовать от должностных лиц, имеющих доступ к персональным данным, уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них изменениях или исключениях из них.
6.3. Запрещается передавать информацию о состоянии здоровья работника, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.4. При передаче персональных данных работников третьим лицам, в том числе представителям работников, в порядке, установленном действующим законодательством Российской Федерации и настоящим Положением, ограничивать эту информацию только теми персональными данными работников, которые необходимы для выполнения третьими лицами их функций.
6.5. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается за счёт средств ООО «КРЫМ-ПРОЕКТ» в порядке, установленном федеральным законом.
- ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКОВ
7.1. Должностные лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности. К данным лицам могут быть применены следующие дисциплинарные взыскания:
а) замечание;
б) выговор;
в) освобождение от занимаемой должности;
г) увольнение.
7.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
7.3. Копия приказа о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение пяти дней со дня издания приказа.
7.4. Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Работодатель до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с работника по собственной инициативе, по письменному заявлению работника или по ходатайству его непосредственного руководителя.
Положение разработал:
Секретарь-делопроизводитель С.Ю. Ярыш
Итоги
Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.
Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:
- «Воинский учет в организации — пошаговая инструкция»;
- «Какой срок хранения документов в архиве организации?».
Источники:
- Федеральный закон от 27.07.2006 № 152-ФЗ
- Трудовой кодекс РФ
Более полную информацию по теме вы можете найти в КонсультантПлюс. Полный и бесплатный доступ к системе на 2 дня.
Порядок написания
Как только гражданин устраивается на работу, он обязан предоставить следующие документы:
- СНИЛС;
- документ, удостоверяющий личность;
- военный билет;
- семейное положение;
- диплом об образовании.
После того, как работодатель принимает данный пакет документов у будущего работника, необходимо продумать понятийный аппарат, который будет частью положения. Далее сведения, относящиеся к персональным данным, используют для заключения трудового договора с сотрудником. При его подписании все личные данные гражданина автоматически вносятся в реестр работодателя и не подлежат разглашению.
Порядок обработки и хранения информации
Под обработкой личных сведений сотрудников, согласно ФЗ-152, понимаются данные, связанные с получением, анализом, систематизацией и хранением информации о гражданах конкретной организации. Эта область деятельности предусматривает внесение изменений в реестре при выяснении новых сведений, а также удаление и блокирование старых, недействительных.
Обработка персональных данных должна соответствовать следующим условиям:
- каждая база данных должна существовать отдельно, совмещать их категорически запрещено;
- сведения по каждому сотруднику должны быть правдивыми и актуальными на данный период времени;
- в обязательном порядке база должна включать сведения о времени сбора данной информации;
- соответствовать всем правовым нормам и нормативно-правовым актам;
- в базе необходима цель и включать именно те данные, которые предусмотрены этой целью.
Структура
Необходимо соблюдать четкую структуру при написании данного официального документа. Трудовое законодательство Российской Федерации обязывает каждого работодателя составлять положение о защите персональных данных. Структуру каждый руководитель определяет для своей организации самостоятельно и индивидуально. Но документ в обязательном порядке должен соответствовать нормам, прописанным в Федеральном законе:
- Признается информация, полученная у сотрудника на добровольной основе и только из его уст. Во всех остальных случаях она признается неверной и незаконной, особенно если сведения предоставлены третьими лицами.
- Предоставление данных должно производиться с личного письменного согласия сотрудника на обработку и хранение персональной информации.
- Документ должен предусматривать цель соблюдения действующего законодательства на территории Российской Федерации и помогать сотрудникам устраиваться на должности.
- Положение обязано гарантировать безопасность и неразглашение личных данных каждого сотрудника данной компании, для которой оно составлено.
- Работодатель обязуется возмещать все убытки, связанные с утечкой важной информации, за собственные средства.
- Положение должны подписать после ознакомления с ним. Только в таком случае данный документ будет иметь юридическую силу.
Кроме того, необходимо утвердить порядок содержания и сбора информации, указать права работника и работодателя. Последним пунктом прописывается юридическая ответственность за неисполнение своих должностных обязательств руководителя в сфере защиты персональных данных.