Положение о порядке обработки персональных данных работников как локальный нормативный акт (2 видео)

Содержание

Положение о защите персональных данных работников 2021 образец скачать
Для чего необходимо положение о защите персональных данных
Какие данные сотрудников являются персональными
Что должно содержать положение о защите персональных данных в 2021 году
Общие положения документа
Список персональных данных работников
Доступ к персональным данным
Обязанности сотрудников, кто имеет доступ к персональным данным
Права работников по операциям с персональными данными
Защита персональных данных
Персональные данные: изменения в законодательстве
Ответственность за нарушения в работе с персональными данными
Как составить Положение о персональных данных
Согласие на обработку персональных данных
Правовые основы положения о защите персональных данных работников
Общая структура локального акта и правовая база
Согласие субъекта и другие приложения
Оформление и утверждение локального акта
📺 Видео

Видео:Разрабатываем Положение о персональных данныхСкачать

Положение о защите персональных данных работников 2021 образец скачать

Если хозяйствующий субъект оформляет трудовые соглашения с физлицами, ему приходится иметь дело со сведениями, которые являются их персональными данными.

Положениями нормативных правовых актов устанавливается, что на работодателя возлагается обязанность по защите данной информации.

Кроме этого, организация должна создать в качестве локального акта такой документ, как положение о персональных данных работников.

Для чего необходимо положение о защите персональных данных

Каждому предприятию в той или иной мере приходится иметь дело с персональными данными физлиц. В большинстве случаев этот процесс включает в себя сбор, хранение, обработку, а также с согласия физлиц, разглашение.

Хозяйственная деятельность компании требует, чтобы ее интересы представляли работники, а для этого приходится составлять различные документы, что приводит к разглашению третьим лицам информации, относимой в соответствии с законодательством к персональным данным.

Это может быть оформление доверенностей, составление заявления на открытие картсчета и т. д. Получается, что работодатель сталкивается одновременно с необходимостью разглашения информации и обязанностью, предусматривающую их защиту.

Найти решение данной проблемы компании позволяет разработанное в организации Положение о персональных данных. Этот акт адаптирует существующие нормы законодательства к особенностям деятельность субъекта хозяйствования.

Внимание: Положение о персональных данных должны разрабатывать все организации и ИП, которые выступают в трудовых отношениях в качестве работодателей. Закон устанавливает, что работодатель является оператором по обработке персональных данных и должен состоять на учете в качестве его в Роскомнадзоре.

Данный локальный норматив разрабатывается в том же порядке что и другие акты компании, имеющие регламентирующие функции. Утверждение Положения осуществляется по общим правилам. Обязанность по созданию его может взять на себя руководитель организации или возложить эти функции на кадровую службу.

Предварительный вариант Положения рекомендуется сначала согласовать с рядом специалистов, после этого направить на согласование с органами профсоюза, если они есть на предприятии. Затем директор издает приказ на утверждение данного

Положения и вводит его в действие. Важно помнить, что с Положением следует ознакомить каждого сотрудника компании, а также всех кто будет поступать на работу в организацию после его введения в действие.

Подтвердить ознакомление работников с Положением можно с помощью специальных журналов, в которых они должны проставить свои визы или с использованием ознакомительных листов.

Внимание: положение по ПД обязательно должно включать в себя согласие на обработку персональных данных. Этот документ заполняется работником при необходимости.

В нем работник разрешает работодателю работать с его личными данными и в определенных в этом бланке случаях разглашать сведения третьим лицам. Часто такой документ просят заполнить сотрудника компании, когда производиться оформление ему доверенности, запрашиваемой им справки.

Нужно помнить, у работника существует право отозвать данное согласие в любой момент времени.

Какие данные сотрудников являются персональными

Законодательно закреплено что относится к персональным сведениям работника. Это может быть информация как напрямую затрагивающая его, так и косвенно.

В состав персональных данных включаются:

Полные Ф.И.О. сотрудника.
Информация о месте и времени рождения физлица.
Адрес его фактического проживания, а также адрес по прописке.
Информация о семейном, социальном, а также имущественном положении сотрудника.
Информация о получаемых сотрудником компании доходах.

Помимо закона о ПД существуют нормы трудового права, устанавливающие, что к персональным данным, которые работодатель должен защищать, следует относить все сведения, позволяющие идентифицировать человека как работника фирмы.

https://www.youtube.com/watch?v=E-BgS68vEWc

Таким образом данный список расширяется такими данными о работнике как состояние его здоровья (при существовании вредных и опасных условий работы), квалификация, образование, специализация, существование у него детей и т. д.

Внимание: данная информация не является строго закрытым списком, она может пополняться различными сведениями. На предприятии категории информации, относимой к персональным данным, обязательно фиксируются в Положение о ПД. Если она пополняется новыми данными, соответствующие коррективы нужно внести и в локальный акт предприятия.

Также существует перечень информации, которую запрещено запрашивать в любых обстоятельствах, поскольку она включена в состав личной.

К такой относится, например, сведения о национальности или вероисповедании. При попытке узнать данную информацию это будет расцениваться как попытка вмешательства в личную жизнь гражданина.

Что должно содержать положение о защите персональных данных в 2021 году

Действующие нормативные акты не устанавливают, какие именно разделы или сведения должны быть отражены в таком Положении. Также нигде не указываются критерии, по которым необходимо производить его оформление.

Обычно при подготовке этого акта используются требования закона о персональных данных, а также общепринятые нормы оформления внутренних актов в компаниях.

Общие положения документа

В данном разделе указываются цели, которые преследуются при его составлении. Здесь же нужно сделать отсылки к законам и иным нормативным актам в области защиты персональных данных. Также здесь нужно писать каким образом положение должно быть введено в действие, и как в него будут вноситься изменения.

Список персональных данных работников

Этот раздел является одним из самых важным во всем положении. Именно здесь будет указано, какие конкретные персональные данные будут подпадать под защиту.

Производить составление данного раздела лучше всего после того, как от работников будут получены все необходимые документы, а также проведен анализ содержащейся там информации.

Внимание: в этом же разделе можно указать внутренние документы компании, в которых могут также находиться персональные данные работников, а потому они также должна подлежать защите.

В этом разделе указываются структурные подразделения либо конкретные лица, которые получают право на доступ к персональным данным. Здесь де необходимо описать, на каких носителях и в каком случае могут храниться данные в субъекте бизнеса — к примеру, в виде бумажных распечаток, в виде электронной базы данных и т.д.

Доступ к персональным данным

В данном разделе описываются методы, при помощи которых персональные данные работников, имеющиеся в субъекте бизнеса, могут быть переданы другим работникам без соответствующих полномочий. Также в этом разделе необходимо описать, при следовании какого порядка происходит передача имеющихся данных в сторонние организации, госорганы, третьим лицам.

Обязанности сотрудников, кто имеет доступ к персональным данным

В данном разделе описываются действия, которые должны выполнять работники, имеющие доступ к персональным данным остальных сотрудников субъекта бизнеса.

Права работников по операциям с персональными данными

В данном разделе необходимо описать права сотрудников, которые передали организации свои персональные данные, а также права тех работников, какие имеют доступ к этим данным во время выполнения своих обязанностей.

Защита персональных данных

Здесь необходимо описать, как именно и в каком месте компании хранятся полученные персональные данные.

Также нужно подробно описать, какими именно способами происходит защита персональных данных на бумажных носителях — например, хранение в архивных шкафах с замками, установка кодового замка на двери архива и т. д.

Важно: также отдельно необходимо указать, где хранятся и как именно происходит защита данных, расположенных на электронных носителях.

https://www.youtube.com/watch?v=uaCg-Fh_K24

Процедура составления и ввода в действие данного внутреннего акта не зависит от процедуры любого другого локального документа.

Если в организации сформирован орган профсоюза, то вводить документ в действие можно только после согласования с этим органом. Проект документа передается туда, где в течение 5 дней должно пройти его рассмотрение. По завершении этого срока профсоюз должен в письменном виде высказать мнение о нем.

Орган может высказать отрицательное мнение, т. е. не согласиться с нормами документа. Тогда вместе с мнением предоставляются рекомендации по его изменению.

Администрация фирмы может принять предлагаемые изменения либо в срок трех дней инициировать дополнительные переговоры.

Внимание: даже если после их проведения противоречия остались неразрешимыми, стороны составляют и подписывают протокол разногласий. После этого шага администрация фирмы может принять документ в том виде, как он существует. Однако при возникновении спорных ситуаций профсоюз может оспорить ее через суд.

Если в компании нет профсоюза, но сформирован иной орган, который представляет интересы работников, то проводить согласование необходимо с ним.

Когда профсоюз вообще не сформирован, администрация вводит документ в действие самостоятельно при помощи подготовки приказа.

В этом распоряжении устанавливается дата, с которой положение начинает действовать, определяются ответственные лица по контролю за соблюдением документа, производится отмена старого положения (если новое создается взамен старого).

Внимание: если в приказе не проставить дату ввода положения в действие, то оно обретет силу с момента подписания распоряжения.

Последние серьезные изменения в закон о персональных данных вносились в 2021 году. Тогда были существенно расширены причины, по которым можно было получить штраф, а также изменились размеры самих штрафов.

В случае, когда сбор персональных данных производится не для целей, указанных в законе, либо производится их обработка неразрешенными методами, это может быть наказано предупреждением либо наложением штрафов:

На граждан 1-3 тысячи рублей;
На должностных лиц 5-10 тысяч рублей;
На компанию 30-50 тысяч рублей.

Если у субъекта, который получил персональные данные, нет согласия на их обработку от владельца, хотя оно обязательно должно быть получено, то за это может накладываться штраф:

На граждан 3-5 тысяч рублей;
На должностное лицо 10-20 тысяч рублей;
На компанию 15-75 тысяч рублей.

Внимание: также штраф может быть наложен за то, что субъект бизнеса не опубликовал в свободном доступе Положение о персональных данных, где указываются методы по получению, обработке и хранению данных.

Его размер составит:

На граждан от 700 руб до 5 тысяч рублей;
На должностное лицо 3-6 тысяч рублей;
На предпринимателя 5-10 тысяч рублей;
На компанию 15-30 тысяч рублей.

Если оператор данных не предоставил владельцу данных подробную информацию о том, каким образом будет проходить обработка данных, это будет наказано:

На гражданина предупреждение или штраф 1-2 тысяч рублей;
На должностное лицо 4-6 тысяч рублей;
На предпринимателей 10-15 тысяч рублей;
На организацию 25-40 тысяч рублей.

Локальные нормативные акты

Видео:Локальные нормативные акты по кадрам - Елена А. ПономареваСкачать

Персональные данные: изменения в законодательстве

Согласно Федеральному закону № 152-ФЗ от 27.06.2006, персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу».

Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр.

Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

Получать личные данные работодатель может только из первых рук, то есть от самого человека.

Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника.

При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

https://www.youtube.com/watch?v=RBJFYiX5AcI

Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

сохранение жизни и здоровья подчиненных;
помощь в трудоустройстве и образовании;
содействие карьерному росту;
контроль за выполнением работником его трудовых функций;
охрана материальных ценностей;
соблюдение исполнения законов.

Ответственность за нарушения в работе с персональными данными

С 1 июля 2021 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов.

Такие изменения содержит Федеральный закон от 07.02.2021 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.

11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

Использование персональных данных в не предусмотренных законодательством целях. Административное наказание — предупреждение или штраф: для физических лиц от 1 000 до 3 000 руб., для должностных лиц — от 5 000 до 10 000 руб., для юридических лиц — от 30 000 до 50 000 руб.
Обработка личных сведений без согласия работника. Сюда же относятся случаи, когда в подписанном сотрудником согласии нет перечня сведений, предусмотренных в ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006. Административное наказание — штрафы: для физических лиц — от 3 000 до 5 000 руб., для должностных лиц — от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб.
Нарушение режима доступа к политике организации по обработке персональных данных. Работодатель обязан опубликовать в общедоступных источниках документ, в котором обозначена его политика в сфере защиты личной информации работников. Это предусмотрено п. 2 ст. 18.1 закона от № 152-ФЗ 27.07.2006, а с 1 июля будет отдельным правонарушением, которое влечет за собой ответственность в виде предупреждения или штрафов: для физических лиц — от 700 до 1 500 руб., для должностных лиц — от 3 000 до 6 000 руб., для ИП — от 5 000 до 10 000 руб. и для юридических лиц — от 15 000 до 30 000 руб.
Сокрытие от работника информации о целях, сроках и способах сбора, хранения и обработки информации, о третьих лицах, которые будут работать с личными сведениями по поручению работодателя, и пр. В таких случаях работодатель получает предупреждение или выплачивает штраф: физические лица — от 1 000 до 2 000 руб., должностные лица — от 4 000 до 6 000 руб., ИП — от 10 000 до 15 000 руб., юридические лица — от 20 000 до 40 000 руб.
Отказ работодателя заблокировать или уничтожить персональные данные согласно ст. 21 закона № 152-ФЗ от 27.07.2006. Административная ответственность — предупреждение или штраф: для физических лиц — от 1 000 до 2 000 руб., для должностных лиц — от 4 000 до 10 000 руб., для ИП — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб.
Отсутствие средств автоматизации для хранения персональных данных, хранение информации только в бумажном виде. Если такой работодатель допустил уничтожение, утечку, несанкционированное копирование и/или распространение личных данных сотрудника, на него налагается штраф: на физических лиц — от 700 до 2 000 руб., на должностных лиц — от 4 000 до 10 000 руб., на ИП — от 10 000 до 20 000 руб., на юридическое лицо — от 25 000 до 50 000 руб.
Несоблюдение или нарушение процедуры обезличивания данных сотрудниками государственных и муниципальных органов власти (Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»). Административная ответственность в таком случае грозит должностному лицу в виде предупреждения или штрафа от 3 000 до 6 000 руб.

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого.

А кроме того, с 1 июля 2021 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п.

58 ч. 2 ст. 28.3 КоАП РФ).

Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

Как составить Положение о персональных данных

Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон № 152-ФЗ, а также на ст. 87 Трудового кодекса РФ.

https://www.youtube.com/watch?v=ijx5mvS1mUM

В Положении о персональных данных стоит отразить:

Общие положения: цели и задачи организации в области защиты персональных данных, круг вопросов, которые регулирует Положение.
Состав персональных данных: сведения, которые работодатель использует в рамках трудовых отношений с работником, перечень документов, в которых такие данные содержатся.
Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц. Бланк согласия можно оформить как приложение к Положению.
Порядок передачи персональных данных как внутри организации, так и сторонним лицам и государственным органам. Здесь следует отразить законодательную норму передавать личную информацию о работнике третьим лицам только с его письменного согласия. Исключение — если это необходимо для защиты жизни и здоровья работника.
Перечень сотрудников, имеющих доступ к персональным данным. Чаще всего это специалисты кадровой службы, бухгалтеры, руководители структурных подразделений и пр.
Ответственность за разглашение личных данных сотрудников. В разделе стоит указать должности тех, кто несет ответственность за нарушение правил хранения, обработки и передачи персональных данных, а также виды ответственности, предусмотренные законодательством (об изменениях в этой сфере расскажем подробнее чуть ниже).

Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

Согласие на обработку персональных данных

Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

Согласие на обработку персональных данных оформляйте в программе Контур-Персонал

Узнать больше

Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006):

ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
перечень персональных данных, на обработку которых дается согласие;
цель обработки персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.

Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 152-ФЗ).

После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

https://www.youtube.com/watch?v=n_jgRNKgdvo

Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.

Видео:3 локальные нормативные актыСкачать

Правовые основы положения о защите персональных данных работников

Как административно-организационный документ положение о защите персональных данных работников создается после успешного прохождения госрегистрации. Составить, утвердить и согласовать этот нормативно-правовой акт следует до начала оформления трудовых отношений.

В процессе заключения договора работодатель получает личную информацию, которая прямо либо косвенно относится к потенциальному сотруднику: сведения о месте рождения, образовании, составе семьи и др.

С этого момента у руководителя юридического лица, ИП возникает обязанность защищать полученные от физического лица данные и соблюдать законодательные требования к их обработке.

Общая структура локального акта и правовая база

При составлении положения следует руководствоваться нормами действующего законодательства России. Документ должен разрабатываться на основании:

Конституции нашей страны;
Федерального закона № 152-ФЗ «О персональных данных» (ред. от 21.07.2014);
ТК РФ;
иных нормативно-правовых актов.

Законодательная база обуславливает структуру положения о персональных данных работника.

В локальный акт рекомендуется включить разделы, которые соответствуют частям (главам, статьям) вышеупомянутого Федерального закона.

Такой подход демонстрирует знакомство руководителя ООО, созданной в иной форме компании, предпринимателя с действующими требованиями к сбору, обработке персональной информации сотрудников, ее хранению.

Первый раздел должен содержать общие сведения:

о законодательных документах – базе для разработки локального акта;
цели – защите конфиденциальной личной информации от несанкционированного доступа, утраты, разглашения;
сфере действия;
терминах, которые употребляются в акте;
порядке утверждения положения;
иную информацию.

В других разделах нормативно-правового акта следует рассмотреть вопросы:

что включается в состав персональных данных;
на основании каких принципов работающий с привлечением наемных сотрудников ИП либо юрлицо обрабатывают личные сведения;
из каких документов работодатель получает конфиденциальную персональную информацию;
как обрабатываются, хранятся сведения;
какие права, обязанности имеют субъект и оператор личной информации (ИП, руководитель фирмы);
порядок и право доступа, внутреннего и внешнего, к полученным сведениям;
как защищается личная информация, ответственность за ее разглашение.

Согласие субъекта и другие приложения

Обрабатывать личные сведения потенциального сотрудника работодатель имеет право, если субъект по собственной воле соглашается на проведение данной операции. Без получения подобного подтверждения запись любой персональной информации, например, во время собеседования с кандидатом на конкретную должность, считается противозаконным действием.

Хотя законодательство России допускает дачу разрешения на обработку личной информации в любой форме, работодатели предпочитают письменное оформление согласия. В этом случае документ становится обязательным приложением к положению о защите данных сотрудников. Согласие содержит сведения:

цель обработки;
Ф.И.О. физлица;
реквизиты документа, который удостоверяет личность субъекта персональных данных;
Ф.И.О. предпринимателя либо наименование компании;
адрес работодателя.

Нового сотрудника уполномоченное лицо знакомит с положением о защите данных под расписку.

https://www.youtube.com/watch?v=4Ut8znmQqpc

Этот документ также оформляется как приложение к нормативно-правовому акту. В расписке фиксируются должность, Ф.И.О. работника и подтверждается факт ознакомления.

В качестве приложений к локальному акту могут выступать:

обязательство о неразглашении конфиденциальной информации;
уведомление о необходимости получения новых данных;
согласие работника на включение сведений в общедоступный источник (например телефонный справочник организации);
уведомление о прекращении обработки, уничтожении данных;
иные документы.

Оформление и утверждение локального акта

Наименование юрлица в нормативно-правовом акте фиксируется согласно учредительным документам. Вид документа печатается с прописной буквы (Положение).

Допускается использование всех прописных букв (ПОЛОЖЕНИЕ). Заголовок составляется в предложном падеже: «О защите персональных данных работников (наименование компании, Ф.И.О. предпринимателя)».

В название можно вносить коррективы, возможные варианты:

о защите и хранении данных;
о хранении и использовании;
о персональных данных.

В тексте локального акта слово “Положение” печатается с прописной буквы, так как имеется в виду конкретный документ, утвержденный в определенной организации (предпринимателем).

http:

Обязательно наличие реквизитов:

даты;
места составления;
грифа утверждения;
регистрационного номера;
виз согласования.

Подготовленное положение утверждается приказом работодателя, который подписывается руководителем фирмы, уполномоченным лицом, ИП. При наличии профсоюза в компании учитывается мнение этого добровольного общественного объединения. Проект положения направляется председателю. Профсоюз в письменной форме высказывает мотивированное мнение по документу.

Если сфера деятельности субъекта (организации, ИП) связана с работой с людьми и необходимостью сбора личной информации, следует составить общее положение, которое регламентирует защиту персональных сведений как работников, так и других лиц.

http:

Это требование имеет отношение к образовательным организациям, медицинским центрам, социальным службам и другим компаниям. Например, вуз обязан защищать персональные сведения работников и обучающихся.