Как оформляются персональные данные?

46

Вопрос

Ситуация: готовимся к проверке Роскомнадзора. Вопрос: Прошу дать весь перечень документов, которые должны быть на предприятии по хранению и обработке персональных данных. Прошу дать образцы этих документов(в том числе и положения о защите персональных данных) и алгоритм их внедрения. Спасибо.

Ответ

Ответ на вопрос:

Порядок получения, обработки, передачи и хранения таких сведений нужно установить в локальном акте организации, например, Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации. Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Таким образом, законодательство устанавливает обязанность работодателя разработать только локальный акт, устанавливающий порядок получения, обработки, передачи и хранения персональных данных.

Также см.:

Положение о работе с персональными данными сотрудников (не предусматривает порядок хранения персональных данных в электронном виде) http://www.1kadry.ru/#/document/118/7694/?step=15


О Обработке персональных данных при приеме на работу читайте подробнее здесь.


Положение о работе с персональными данными сотрудника (фрагмент) http://www.1kadry.ru/#/document/118/15054/?step=15

Приложение к Положению о работе с персональными данными сотрудников http://www.1kadry.ru/#/document/118/20922/?step=15

В процессе работы с персональными данными может потребоваться документальное оформление ряда действий.

Необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников.

При этом согласие должно включать в себя следующую информацию:

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку.

Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

Работодатели вправе самостоятельно разрабатывать локальные акты, которые должны соответствовать законодательству и не могут ухудшать положение работников (ст. 8 ТК РФ).

Образцы документов см. по гиперссылкам в тексте ответа.

Алгоритм внедрения предусмотрен только для положения о защите персональных данных: оно утверждается или приказом руководителя в произвольной форме, или грифом утверждения с подписью директора на самом положении.

Подробности в материалах Системы Кадры:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись сотрудника.

    По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

    Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

    Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

    С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

    Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

    Нина Ковязина,

    заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

    До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

    Об этом говорится в частях 1 и 2 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ.

    Форма уведомления о намерении осуществлять обработку персональных данных утверждена приказом Минкомсвязи России от 21 декабря 2011 г. № 346. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г. № 152-ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

    В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме (ч. 7 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

    Нина Ковязина,

    заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

    1. Ответ: Как получить согласие сотрудника на обработку его персональных данных?
      • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
      • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
      • цель обработки персональных данных;
      • перечень персональных данных, на обработку которых дается согласие;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
      • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
      • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
      • подпись сотрудника.
    2. Ответ: Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников?
      • обрабатываемых в соответствии с трудовым законодательством;
      • сделанных сотрудниками общедоступными;
      • полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
      • относящихся к членам (участникам) общественного объединения или религиозной организации;
      • включающих в себя только фамилии, имена и отчества сотрудников;
      • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
      • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
      • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.
    3. Ответ: Как организовать защиту персональных данных сотрудников в организации?

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.


Интересная информация о приказе о защите персональных данных размещена здесь.


Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).


Читайте о доступе к персональным данным, чтобы не совершать ошибок.


При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом?

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

30.08.2016

С уважением и пожеланием комфортной работы, Наталья Никонова,

эксперт Системы Кадры

Петиция от всех кадровиков России

В Трудовом кодексе есть досадные пробелы, которые усложняют работу кадровикам, хотя ничего не стоит их устранить.



Школа

Самое выгодное предложение

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

САМОЕ ВАЖНОЕ






Рассылка




© 2011–2017 ООО «Актион кадры и право»

Журнал «Кадровое дело» –
практический журнал по кадровой работе

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43626 от 18.01.2011


Упс! Материал только для зарегистрированных пользователей

Чтобы продолжить чтение статей на сайте журнала «Кадровое дело», пожалуйста, зарегистрируйтесь. Это займет 1 минуту, а вы получите доступ к профессиональным материалам и полезным сервисам для кадровых специалистов:

  • статьи и готовые рекомендации по главным вопросам кадрового делопроизводства;
  • шпаргалки для безошибочной работы;
  • вебинары и презентации от лучших экспертов по кадрам.
 

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Скачивание доступно после регистрации


Зарегистрируйтесь бесплатно
и скачивайте любые документы.



У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Профессиональные тесты доступны только после регистрации!

Только зарегистрированные пользователи могут проходить профессиональное тестирование на сайте. Регистрация бесплатна и займет менее минуты. После нее Вы сможете проверить свои знания, а также получите доступ к материалам и всем сервисам сайта.

Вас также ждет подарок: 10 кадровых шпаргалок на каждый день.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Всего один шаг - и документ Ваш!

Только зарегистрированные пользователи имеют доступ к полной базе нормативных документов. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

Вас также ждет подарок: 10 кадровых шпаргалок на каждый день.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль