Обувь

Составляем приказ о персональных данных работников. Правила ознакомления сотрудников с положением о персональных данных Приказ об утверждении положения защиты персональных данных

23.12.2023

Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях. Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир. Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник). Часто это происходит по незнанию: не все должностные лица понимают, . Тем не менее, поисковая фраза «скачать образец приказа о защите персональных данных работников 2019 год» находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.

Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует глава 14 ТК РФ и закон № . В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.

Организация защиты (пакет документов)

Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:

  • политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
  • положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
  • перечень лиц, имеющих к ней доступ;
  • (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);

Порядок разработки и утверждения

Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312. Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя. Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2019 год).

Образец приказа о персональных данных работников 2019

Крайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ : все, что мы знаем о работнике, мы должны узнать от него самого. В крайнем случае можно обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял...), но только с его ведома (например, запросить копию диплома в архиве вуза). Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны.

Все это надо прописать в положении, с которым работник должен быть ознакомлен до момента подписания трудового договора.

Положение о защите персональных данных работников 2019 года

Допуск к персональным данным

Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор. Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2019 году можно сделать в свободной форме, унифицированной формы данного документа не существует). В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:

  • генеральный директор и его заместитель по безопасности;
  • начальник отдела кадров.

Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.

Особые случаи

Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании). В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника). Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.

Есть информация, которая является максимально конфиденциальной (см. образец приказа о допуске к персональным данным работников), и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности, но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).

Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».

2004 г. № 1

ДЕПАРТАМЕНТ

ИНФОРМАЦИОННО-АНАЛИТИЧЕСКОГО

Форма по ОКУД

ОБЕСПЕЧЕНИЯ ОРГАНОВ

ГОСУДАРСТВЕННОЙ ВЛАСТИ

ЯРОСЛАВСКОЙ ОБЛАСТИ

наименование организации

Номер документа

Дата составления

ПРИКАЗ

20.01.2009

Об обработке и защите персональных данных работников

В целях обеспечения защиты персональных данных сотрудников департамента и в соответствии с Федеральным законом от 27. «О государственной гражданской службе Российской Федерации», Указом Президента Российской Федерации «Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

ПРИКАЗЫВАЮ:

1. Утвердить Положение об обработке и защите персональных данных работников департамента информационно – аналитического обеспечения органов государственной власти Ярославской области (прилагается).

2. Контроль за исполнением приказа оставляю за собой.

Директор департамента

(личная подпись)

(расшифровка подписи)

С приказом ознакомлены:

УТВЕРЖДЕНО

приказом директора

департамента

от _________ №

Положение

об обработке и защите персональных данных работников департамента информационно – аналитического обеспечения органов государственной власти Ярославской области

1. Применяемые понятия и определения

Значение

Документы, содержащие персональные данные работника

Копии личных документов работника (паспорт, диплом, военный билет, водительское удостоверение, заграничный паспорт, свидетельство о рождении и т. п.), анкета, заявления, трудовая книжка, личная карточка работника по форме Т-2ГС, экземпляр трудового договора и изменений к нему, приказы по личному составу и т. д.

Персональные данные работника

Любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника

Информационная система персональных данных

Информационная система, представляющая собой упорядоченную совокупность персональных данных, содержащихся в базе данных , а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Конфиденциальность персональных данных

Обязательное для соблюдения должностным лицом, получившим доступ к персональным данным, требование не допускать распространения без согласия субъекта персональных данных или наличия иного законного основания

Обработка персональных данных работника

Действия (операции) с персональными данными работника, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование и уничтожение персональных данных работника

Положение

Настоящее Положение об обработке и защите персональных данных работников

2. Общие положения


2.1. Положение определяет порядок обработки и защиты персональных данных работников департамента информационно – аналитического обеспечения органов государственной власти ярославской области (далее – департамент).

2.2. Положение обязательно для исполнения всеми должностными лицами департамента.

2.3. Целями Положения являются:

Установление порядка обработки персональных данных с использованием средств автоматизации или без использования таких средств;

Определение прав и обязанностей работников департамента в области обработки персональных данных;

Организация и обеспечение защиты прав работников департамента при обработке их персональных данных.

2.4. К персональным данным работника относятся:

Паспортные данные;

Адрес регистрации, адрес места жительства, номера домашнего и мобильного телефонов;

Сведения об образовании, повышении квалификации, переподготовке, аттестации;

Сведения о воинском учете;

Сведения о трудовом стаже и местах предыдущей работы;

Данные ИНН;

Сведения о наградах и званиях;

Сведения о банковских счетах и картах;

Сведения о социальных льготах, пенсионном обеспечении и страховании;

2.5. Доступ к персональным данным работников департамента имеют:

Директор департамента (доступ к персональным данным работников, которые необходимы ему для исполнения своих должностных обязанностей);

Сотрудник, отвечающий за кадровое обеcпечение (доступ к персональным данным работников, которые необходимы им для исполнения своих должностных обязанностей);

Руководители подразделений (доступ к персональным данным подчиненных работников, которые необходимы им для исполнения своих должностных обязанностей);

Начальник отдела – главный бухгалтер (доступ к тем сведениям, которые необходимы им для исполнения своих должностных обязанностей);

- работник (доступ к своим персональным данным);

Органы государственной власти, контрольные и надзорные органы (в рамках своих полномочий в соответствии с федеральными законами).

2.6. В случае необходимости и с учетом действующего законодательства в Положение могут быть внесены изменения и дополнения в порядке, установленном в департаменте.

3. Порядок обработки персональных данных сотрудников .

3.1. Должностные лица, имеющие доступ к персональным данным работников департамента, при обработке персональных данных должны соблюдать следующие требования:

Все персональные данные работника департамента следует получать у него лично. Если по уважительным причинам это невозможно, то привлекается третья сторона, с письменного согласия самого работника. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни;


Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2. Порядок хранения и использования персональных данных работников установлен Работодателем с соблюдением требований Трудового кодекса Российской Федерации и Федерального закона -ФЗ «О персональных данных»:

Документы, содержащие персональные данные работника, хранятся в сейфе или специально оборудованном несгораемом шкафу, запирающемся на ключ, доступ к которому имеет сотрудник, отвечающий за кадровое обеcпечение;

Документы по учету кадров и документы, содержащие сведения о работниках и их трудовой деятельности, хранятся в личных делах работников, которые формируются и поддерживаются в актуальном состоянии сотрудником, отвечающим за кадровое обеcпечение в течение всего срока работы работника;

После увольнения работника его личное дело подлежит хранению у Работодателя в установленном порядке в течение 75 лет или до момента ликвидации департамента. При ликвидации департамента личные дела работников передаются на хранение в государственный архив в установленном порядке;

Персональные данные работников могут храниться в электронном виде в информационной системе персональных данных (электронной базе данных) в локальной компьютерной сети Работодателя. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается системой паролей в порядке, установленном локальными нормативными актами департамента;

Ответственность за хранение (сохранность) документов, связанных с трудовой деятельностью работников, несет персонально директор департамента;

Сотрудник, отвечающий за кадровое обеcпечение может снимать копии с документов, делать выписки, составлять аналитические и иные справки, изымать (заменять) документы, хранящиеся в личных делах работников, исключительно в рамках своих должностных обязанностей; выдача копий документов, содержащих персональные данные работников, осуществляется в соответствии со статьей 62 Трудового кодекса Российской Федерации уполномоченными лицами, имеющими доступ к персональным данным работников:

Сотрудник, отвечающий за кадровое обеcпечение выдает работнику по его письменному заявлению (по форме согласно Приложению 1 к Положению) безвозмездно копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении и др.), а также выписки из трудовой книжки и справки, содержащие данные работника о его трудовой деятельности;

Начальник отдела главный бухгалтер выдает работнику безвозмездно справки о заработной плате , копии сведений о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование и др.;

Копии документов, связанных с работой, заверяются надлежащим образом: на копии проставляются заверительная надпись «Верно», наименование должности лица, заверившего копию, личная подпись, расшифровка подписи (инициалы, фамилия), дата заверения, оттиск печати.


3.3. Право заверять копии трудовых книжек работников департамента, делать выписки из них имеет сотрудник, отвечающий за кадровое обеcпечение.

3.4. Ответ на запрос органов государственной власти, контрольных и надзорных органов о предоставлении персональных данных работника оформляется письмом, сотрудником, отвечающий за кадровое обеcпечение,за подписью директора департамента (при необходимости - с приложением копий запрошенных документов). Содержание данного письма (включая любые приложения к нему) является конфиденциальным.

4. Права и обязанности работодателя

4.1. Работодатель обязан:

Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, установленных федеральными законами;

Не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

Предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность;

Осуществлять передачу персональных данных работника в соответствии с Положением, с которым работник должен быть ознакомлен под личную подпись;

Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные работника, которые необходимы для выполнения конкретных должностных обязанностей;

Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником должностных обязанностей;

Передавать персональные данные работника представителям работников в порядке, установленном Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их должностных обязанностей.

4.2. Работодатель имеет право запрашивать у работника достоверные персональные данные, необходимые Работодателю в связи с трудовыми отношениями, при приеме на работу и в случаях изменения (дополнения) персональных данных.

5. Права и обязанности работника

5.1. Работник обязан:

Предоставлять Работодателю достоверные персональные данные;

При изменении (дополнении) персональных данных незамедлительно сообщать Работодателю об их изменении (дополнении).

5.2. Работник имеет право на:

Полную информацию о своих персональных данных и обработке этих данных;

Свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами;

Определение своих представителей для защиты своих персональных данных;

Доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору;

Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Положения. При отказе Работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Требование об извещении Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия Работодателя при обработке и защите персональных данных работника.

6. Общедоступные источники персональных данных работников.

6.1. В целях информационного обеспечения Работодателем могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, дата рождения, адрес, номер телефона, сведения о профессии и иные персональные данные, предоставленные работником.

6.2. Сведения о работнике могут быть в любое время исключены из общедоступных источников персональных данных по требованию самого работника либо по решению суда или иных уполномоченных государственных органов.

7. Ответственность

Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, несут уголовную, административную, гражданскую, материальную и дисциплинарную ответственность , вплоть до увольнения по соответствующим основаниям, в порядке, установленном законодательством Российской Федерации.

Приложение

к Положению об обработке

и защите персональных

данных работников

________________________________________________

(наименование должности, Ф. И.О. лица, которому направляется заявление)

________________________________________________________________

(наименование должности, Ф. И.О. работника – автора заявления)

ЗАЯВЛЕНИЕ

Прошу выдать мне

Заверенную копию(ые) копию (ии) документа(ов), связанного(ых) с моей работой:

________________________________________________________________________

(наименование документа или его краткое содержание)

(цифрами) (прописью)

Справку с места работы:

______________________________________________________________

(перечислить сведения, которые необходимо указать в справке)

в _____ (___________) экземпляре(ах).

(цифрами) (прописью)

________________ ___________________

(личная подпись) (расшифровка подписи)

« »_____________20 г.

Копия (ии) документа(ов) / справка(и) получена(ы):

« »_______20 г. _______________

Узнайте, как разработать приказ о персональных данных. В статье представлены образцы приказов о работе с информацией конфиденциального характера.

В статье:

Скачайте документы по теме:

Как составить приказ о защите персональных данных

При поступлении на работу сотрудник предоставляет работодателю информацию, которая является конфиденциальной. Такие сведения должны быть надежно защищены. При передаче их третьим лицам работодатель должен получить письменное согласие. Защиту личных данных оформляют документально на основании действующего законодательства.

Что должно быть в приказе о защите персональных данных

  1. Полное наименование организации.
  2. Порядковый номер.
  3. Цель выпуска. Например, фразу:
    С целью исполнения требований, которые установлены главой 14 Трудового кодекса РФ, федеральным законом «О персональных данных» под № 152 от 27 июля 2006 года приказываю…
  4. Содержательную часть об утверждении Положения о защите персданных, дату ввода его в действие. О назначении ответственных лиц по работе с информацией конфиденциального характера, возложении на ответственных лиц обязанности о неразглашении личных сведений о сотрудниках.

Приказ о защите персональных данных работников (образец) содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников. Ответственные лица должны быть ознакомлены с таким приказом под подпись.

Нарушение порядка утверждения работы с информацией конфиденциального характера может привести не только к штрафам и взысканиям, но и к уголовной ответственности, когда владельцу информации нанесен серьезнейший материальный или физический ущерб. После того, как произведено утверждение приказа, порядковый номер документа проставляют в журнале по регистрации распоряжений. Сам документ хранят в кадровой службе или в бухгалтерии. Ответственные лица должны постоянно помнить о том, что данные конфиденциального характера хранят в соответствии с установленными правилами.

. Из статьи вы узнаете, какая информация относится к общедоступной, как получить разрешение от сотрудника на обработку. Каким способом уведомить Роскомнадзор, как обеспечить защиту сведений конфиденциального характера и т.д.

Приказ об обработке персональных данных: образец

Приказ о согласии на обработку персональных данных содержит:

  • наименование организации;
  • дату и порядковый номер;
  • цель выпуска, например фразу: «Об утверждении формы согласия на проведение обработки персданных»;
  • bsp; наименование закона, на основании которого выпущен приказ: «В соответствии с федеральным законом под № 152-Ф3 от 27 июля 2006 года»;
  • содержательную часть об утверждении формы заявления о выдаче письменного согласия на обработку персданных, форма идет приложением к распоряжению;
  • кому поручен контроль за исполнением приказа;
  • подпись руководителя или лица, временно исполняющего его обязанности.

Эксперт «Системы Кадры» расскажет, . Из статьи вы узнаете, какие виды ответственности предусмотрены за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников, нарушение передачи.

Какой образец использовать, составляя приказ об утверждении положения о персональных данных

Порядок хранения, обработки, использования персданных сотрудников устанавливается работодатель с учетом всех требований Трудового кодекса РФ, а также иных федеральных законов (на основании ст. 87 ТК РФ). Это значит, что работодатель самостоятельно определяет порядок такой обработки, закрепляет его в локальном нормативном акте. Например, в Положении о работе с данными конфиденциального характера сотрудников.

Сотрудники при приеме на работу должны быть ознакомлены с действующим Положением под подпись (на основании части третьей ст. 68 ТК РФ).

Положение о работе с персданными относится к обязательному документу организации . Отсутствие такого документа влечет административную ответственность (на основании ст. 5.27 КоАП РФ). На это же указывают и суды (смотрите постановление ФАС Московского округа от 26 октября 2006 года под № КА-А40/10220-06).

После составления Положения его утверждают приказом. Приказ составляют в произвольной форме.

Что нужно указать в приказе

  1. Название документа, который утверждается распоряжением.
  2. Дату, когда положение вступает в силу.
  3. К приказу идет приложением Положение о работе с персданными.
  4. С приказом знакомят под подпись сотрудника, ответственного за его исполнение.

Приказ о персональных данных: утверждение Положения


Эксперт журнала «Кадровое дело» расскажет, . Из статьи вы узнаете, когда разрешение на обработку персональных данных не требуется и можно ли хранить в отделе кадров копии паспортов.

Разрабатываем Положение о персональных данных. Продумываем нюансы

Каким способом оформить приказ о назначении ответственного за персональные данные

Приказ об обработке персональных данных ответственными лицами выпускает руководитель организации. Этим распоряжением назначают ответственного по работе с информацией конфиденциального характера. Вторым распоряжением утверждают перечень сотрудников, которые будут допущены к персданным.

Ответственные сотрудники несут административную ответственность в случаях, когда третья сторона получает доступ к информации конфиденциального характера без ведома и без разрешения со стороны самого работника, который ее представил. Ознакомление с распоряжением ответственных лиц проводится под подпись. При нарушении в работе с персданными таких лиц вправе привлечь к административной или уголовной ответственности.

Что должен содержать приказ об обработке персональных данных

  1. Под наименованием организации в скобках указывают сокращенное наименование организации, если оно изначально предусмотрено уставом (на основании пункта 5.5 ГОСТ Р 7.0.97-2016).
  2. Место составления документа, прописывают по центру после строки «дата документа».
  3. Заголовок к тексту оформляют слева – от границы левого поля (на основании пункта 5.17 ГОСТ Р 7.0.97-2016).

Кого включают в приказ об утверждении перечня допущенных сотрудников

  1. Наименование организации, оно должно соответствовать наименованию юридического лица, которое закреплено в учредительных документах (в уставе или в положении).
  2. Под наименованием организации в скобках вносят сокращенное наименование организации, если оно предусмотрено уставом (на основании п. 5.5 ГОСТ Р 7.0.97-2016).
  3. Место составления документа прописывают по центру после строки «дата документа».
  4. Заголовок к тексту оформляют слева - от границы левого поля (на основании пункта 5.17 ГОСТ Р 7.0.97-2016).
  5. Указывают должность и фамилию сотрудника, а также закрепленный за ним объект.

★ Эксперт журнала «Кадровое дело» расскажет о разъяснениях Роскомнадзора, .

Приказ о защите персональных данных работников (образец) содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников. Ответственные лица должны быть ознакомлены с таким приказом под подпись. Дополнительно оформляют распоряжение об утверждении Положения по работе с информацией конфиденциального характера и документ о назначении ответственного лица, а также перечня лиц, допущенных к работе с закрытой информацией.

Принимая граждан на работу, работодатель собирает у них личную персональную информацию. При этом, согласно ст.87 ТК РФ, он должен обеспечить надлежащий порядок в хранении и применении полученных сведений. В связи с этим требуется разработать Положение о защите персональных данных работников и утвердить его приказом. Образец приказа представлен ниже.

Работники, в свою очередь, прежде чем передать персональные данные, должны дать свое письменное согласие на их сбор, обработку, использование, хранение. В связи с этим при трудоустройстве пишется . Работодателю следует сохранить это заявление у себя и ознакомить сотрудника с положениями, регулирующими защиту полученных сведений. Причем знакомство проводится под роспись, работнику после прочтения всех пунктов локального акта ставит свою подпись об ознакомлении.

Задача работодателя составить грамотный локальные внутренний акт, который будет правильно отражать порядок хранения и обработки личных данных, обеспечивая тем самым им сохранность и защиту. Этот акт, как правило, оформляют в форме Положения. После разработки его обязательно вводят в действие приказом об утверждении.

Наличие Положения о персональных данных — это обязанность каждого работодателя. Его отсутствие будет нарушением трудового законодательства.

При составлении Положения и разработке приказа, его утверждающего, работодатель должен руководствоваться следующими нормативными пунктами:

  • гл. 14 ТК РФ;
  • федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных».

Дополнительно предлагаем скачать образцы распоряжений об утверждении следующей нормативной документации на предприятии:

Как оформить приказ об утверждении Положения о защите данных работников

Форма для составления не типовая, готовится работодателем самостоятельно после согласования всех пунктов Положения.

  • основание для подготовки — исполнение пунктов законодательных документов, регулирующих вопросы защиты персональных данных сотрудников;
  • распоряжение утвердить разработанное Положение (оно в обязательном порядке прикладывается к бланку приказа в виде приложения для ознакомления персонала);
  • назначение ответственного лица, которое должно провести ознакомительную процедуру со всеми работниками — передать Положение о защите их данных для прочтения каждому трудящемуся в компании;
  • сроки проведения ознакомительных действий с персоналом;
  • дата ввода в действие Положения — возможно указать конкретную дату, можно пояснить, что документ вступает в силу со дня подписания приказа об его утверждении;
  • сведения о лице, на которого возлагается контроль за исполнением распоряжений, изложенных в утверждающем приказе.

Заполненный образец распоряжения обязательно регистрируется в сводном журнале, определяется для него персональный номер, ставится дата подготовки.

16 Сен 2012 16:11

Персональные данные работника - это касающаяся конкретного лица информация, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Руководствоваться при этом работодателю следует не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. В статье расскажем, как разработать Положение о персональных данных, что в него включить и на что еще обратить внимание.

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому . Помимо таких данных, как фамилия, имя, отчество, возраст, образование, место жительства, семейное положение, национальность, к персональным данным можно отнести религиозные и политические убеждения, сексуальную ориентацию и т.п. Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это, в первую очередь, информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). То есть работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности. И когда в некоторых организациях на собеседованиях с претендентами задают подобные вопросы, тем самым нарушается право на неприкосновенность частной жизни.
В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ и иными федеральными законами (п. 7 ст. 86 ТК РФ), за счет своих средств.
Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях.
Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа - обо всем этом говорится в положении о персональных данных (далее - Положение), которое должно быть разработано в каждой организации.

К сведению. Для государственных учреждений положения разрабатываются нормативными правовыми актами. Так, Положение о персональных данных государственного гражданского служащего РФ и ведении его личного дела утверждено Указом Президента РФ от 30.05.2005 N 609.

Порядок утверждения Положения

Если в организации есть профсоюз, Положение утверждается с учетом его мнения в порядке, определенном ст. 372 ТК РФ (если данное требование установлено или соглашением): работодатель направляет проект положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения отсылает работодателю мотивированное мнение по проекту в письменной форме. Если оно не содержит согласия с проектом положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения. При недостижении согласия оформляется протокол разногласий, после чего работодатель имеет право принять Положение, но оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора.
Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом. Если же нет ни того, ни другого, работодатель утверждает положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Как правило, принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом работодателя.
Приведем примерный образец такого приказа.

Общество с ограниченной ответственностью
"САТУРН"

Приказ N 203
об утверждении Положения о персональных данных
работников ООО "САТУРН"

Во исполнение гл. 14 ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", других действующих нормативно-правовых актов, а также в целях приведения локальных нормативных актов ООО "САТУРН" в соответствие с действующим законодательством РФ

ПРИКАЗЫВАЮ:

1. Ввести в действие с 26.06.2012 Положение о персональных данных работников ООО "САТУРН" (далее - Положение).
2. Менеджеру по персоналу Кукиной Л.А. до 29.06.2012 довести Положение до сведения всех сотрудников организации под роспись.
3. До 27.06.2012 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО "САТУРН" (по форме Приложения N 1 к Положению).
4. Местом хранения Положения определить кабинет отдела кадров организации.
5. Контроль исполнения данного приказа оставляю за заместителем генерального директора - директором по персоналу Максимовой Н.В.

Генеральный директор Королев /В.В. Королев/

С приказом ознакомлены:

Менеджер по работе с персоналом Кукина /Л.А. Кукина/
Директор по персоналу Максимова /Н.В. Максимова/

Сотрудников организации необходимо ознакомить с Положением под роспись, а вновь принимаемых на работу лиц следует в силу ст. 68 ТК РФ знакомить с Положением до подписания трудового договора. Что касается работников, участвующих в обработке персональных данных, ознакомить их с Положением недостаточно - они должны дать обязательство о неразглашении персональных данных.

Рекомендуем при разработке Положения включать в него следующую информацию:
- сведения, относящиеся к персональным данным, порядок их получения;
- перечень лиц, имеющих право доступа к персональным данным, их права и обязанности, режим доступа к таким данным;
- способы защиты персональных данных;
- права работника и работодателя в области обработки персональных данных;
- порядок ознакомления работника с его персональными данными, получения копий документов, их содержащих;
- ответственность за нарушение норм по обработке персональных данных.

Образец Положения о персональных данных

Общество с ограниченной ответственностью "САТУРН" (ООО "САТУРН")

УТВЕРЖДАЮ
Генеральный директор
ООО "САТУРН"

ПОЛОЖЕНИЕ
о персональных данных работников ООО "САТУРН"

1. Общие положения .
1.1. Положение о персональных данных работников ООО "САТУРН" (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО "САТУРН" (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

2. Получение персональных данных .
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
- Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента представления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со ст. 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, представляемых работником. По мере необходимости работодатель истребует у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму N Т-2 "Личная карточка работника" и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел заместитель генерального директора - директор по персоналу.
2.7. Личное дело работника состоит из следующих документов:
- трудовой договор;
- личная карточка формы N Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почетного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.

3. Хранение персональных данных .
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся в отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфавитном порядке.
3.2. Личные дела регистрируются в журнале учета личных дел, который ведется в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передается в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
- трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде на локальной компьютерной сети. Доступ к электронным базам данным, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавливает системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется охранной системой и камерой видеонаблюдения.
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.

4. Доступ к персональным данным .
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.

5. Обработка персональных данных работников .
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (ч. 1 ст. 10 Федерального закона N 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных по форме Приложения N 1 к настоящему Положению.

6. Права и обязанности работника в области защиты его персональных данных .
6.1. Работник обязуется представлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

7. Передача персональных данных .
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (Приложение N 2 к Положению).
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

8. Ответственность за нарушение норм, регулирующих обработку персональных данных .
8.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленным настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, - влекут наложение на него дисциплинарного взыскания (выговора, увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в соответствии с п. 7 ч. 1 ст. 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

Приложение N 1 к Положению о персональных данных
работников ООО "САТУРН"

Обязательство о неразглашении персональных данных работников
ООО "САТУРН"

Я, ____________________________________________________________________ с Положением о персональных данных работников ООО "САТУРН" ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей.
Об ответственности за разглашение персональных сведений работников предупрежден(а).

Приложение N 2 к Положению о персональных данных
работников ООО "САТУРН"

Генеральному директору
ООО "САТУРН"
В.В. Королеву
от ________________________,
зарегистрированного по адресу
_____________________________
паспорт _____________________

Согласие
на передачу персональных данных третьей стороне

Я, ____________________________________________________________________ в соответствии с абз. 1 ч. 1 ст. 88 ТК РФ даю согласие Обществу с ограниченной ответственностью "САТУРН" (ООО "САТУРН"), расположенному по адресу ________________, на предоставление в ПФР следующих моих персональных данных:
- Ф.И.О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее согласие действительно в течение одного года с момента его получения.
_______________ "__" ______________ ____ г.

Заключение

Отметим, что документы, в которых закрепляются положения о вопросах обработки и защиты персональных данных, могут стать объектом проверки контролирующих органов, в частности сотрудников Роскомнадзора. Поэтому работодателю следует ответственно подойти к их разработке.
В заключение дадим несколько советов работодателям по оформлению локальных документов, регламентирующих работу с персональными данными сотрудников:
1. Разрабатывая документы, необходимо указывать конкретные нормы закона, на основании которых работодатель обрабатывает персональные данные.
2. Запрашивая с работника согласие на обработку его персональных данных, кроме нормы закона следует указывать цели, для которых они запрашиваются.
3. Помимо Положения в некоторых случаях нужно издавать приказы работодателя. Например:
- об установлении лиц, имеющих право доступа к персональным данным;
- о назначении лиц, ответственных за защиту персональных данных;
- о мерах, принимаемых для обеспечения безопасности персональных данных.
4. В Положении закрепляется четкий и подробный перечень сведений, которые являются персональными, а также конкретные способы обработки персональных данных, установленные ст. 3 Закона N 152-ФЗ и применяемые в организации (сбор, систематизация, хранение и т.д.).
5. Указывайте периоды совершения действий с персональными данными. Например, в согласии работника следует указать, что он дает согласие на передачу своих данных в течение одного месяца (или одного года и т.д.).
6. При разработке Положения можно использовать Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".