Как оформляются персональные данные?

66

Вопрос

Ситуация: готовимся к проверке Роскомнадзора. Вопрос: Прошу дать весь перечень документов, которые должны быть на предприятии по хранению и обработке персональных данных. Прошу дать образцы этих документов(в том числе и положения о защите персональных данных) и алгоритм их внедрения. Спасибо.

Ответ

Ответ на вопрос:

Порядок получения, обработки, передачи и хранения таких сведений нужно установить в локальном акте организации, например, Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Таким образом, законодательство устанавливает обязанность работодателя разработать только локальный акт, устанавливающий порядок получения, обработки, передачи и хранения персональных данных.

Также см.:

Положение о работе с персональными данными сотрудников (не предусматривает порядок хранения персональных данных в электронном виде) http://www.1kadry.ru/#/document/118/7694/?step=15


О Обработке персональных данных при приеме на работу читайте подробнее здесь.


Положение о работе с персональными данными сотрудника (фрагмент) http://www.1kadry.ru/#/document/118/15054/?step=15

Приложение к Положению о работе с персональными данными сотрудников http://www.1kadry.ru/#/document/118/20922/?step=15

В процессе работы с персональными данными может потребоваться документальное оформление ряда действий.

Необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников.

При этом согласие должно включать в себя следующую информацию:

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку.

Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Работодатели вправе самостоятельно разрабатывать локальные акты, которые должны соответствовать законодательству и не могут ухудшать положение работников (ст. 8 ТК РФ).

Образцы документов см. по гиперссылкам в тексте ответа.

Алгоритм внедрения предусмотрен только для положения о защите персональных данных: оно утверждается или приказом руководителя в произвольной форме, или грифом утверждения с подписью директора на самом положении.

Подробности в материалах Системы Кадры:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись сотрудника.

    По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

    Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

    Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

    Нина Ковязина,

    заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

    До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

    Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

    Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

    В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме (ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

    Нина Ковязина,

    заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

    1. Ответ: Как получить согласие сотрудника на обработку его персональных данных?
      • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
      • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
      • цель обработки персональных данных;
      • перечень персональных данных, на обработку которых дается согласие;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
      • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
      • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
      • подпись сотрудника.
    2. Ответ: Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников?
      • обрабатываемых в соответствии с трудовым законодательством;
      • сделанных сотрудниками общедоступными;
      • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
      • относящихся к членам (участникам) общественного объединения или религиозной организации;
      • включающих в себя только фамилии, имена и отчества сотрудников;
      • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
      • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
      • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
    3. Ответ: Как организовать защиту персональных данных сотрудников в организации?

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.


Интересная информация о приказе о защите персональных данных размещена здесь.


Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).


Читайте о доступе к персональным данным, чтобы не совершать ошибок.


При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом?

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

30.08.2016

С уважением и пожеланием комфортной работы, Наталья Никонова,

эксперт Системы Кадры

Петиция от всех кадровиков России

В Трудовом кодексе есть досадные пробелы, которые усложняют работу кадровикам, хотя ничего не стоит их устранить.

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Школа

      Самое выгодное предложение

      Проверь свои знания и приобрети новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...









      © 2011–2017 ООО «Актион кадры и право»

      Журнал «Кадровое дело» –
      практический журнал по кадровой работе

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи,
      информационных технологий и массовых коммуникаций (Роскомнадзор)
      Свидетельство о регистрации ПИ № ФС77-62263 от 03.07.2015

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      ×

      Чтобы скачать этот и другие экспертные материалы сайта, оформите ознакомительный доступ.

      Не беспокойтесь, это займет меньше минуты.

      Получить доступ

      Простите, что прерываем ваше чтение

      Чтобы обеспечить качество материалов и защитить авторские права редакции, многие статьи на нашем сайте находятся в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего 2 минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      2 минуты, и вы продолжите читать
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль