Бесплатная горячая линия

8 800 301 63 12
Главная - Трудовое право - Порядок работы с персональными данными в организации

Порядок работы с персональными данными в организации

Порядок работы с персональными данными в организации


» » Правовые ответы Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).К общим персональным данным можно отнести следующие сведения:

  1. дата и место рождения;
  2. финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  3. изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  4. деловые и иные личные качества, которые носят оценочный характер;
  5. образование, профессия;
  6. факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  7. прочие сведения, которые могут идентифицировать человека.
  8. адрес (место регистрации);
  9. семейное положение, наличие детей, родственные связи;
  10. фамилия, имя, отчество;

Кроме того, в Законе о персональных данных упоминаются:

  1. специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).

    По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;

  2. биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность).

    Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу).

Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  1. документах о воинском учете, образовании, составе семьи;
  2. в паспорте или ином документе, удостоверяющем личность;
  3. анкете, заполняемой при трудоустройстве;
  4. личной карточке работника (форма Т-2);
  5. справке о доходах с предыдущего места работы;
  6. трудовой книжке;
  7. медицинских справках и др.
  8. свидетельствах о заключении брака, рождении ребенка;

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п.

1 ст. 6, ст. 9 Закона о персональных данных).

Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных).

Например, письменное согласие работника на обработку его персональных данных требуется:1) при получении персональных данных работника у третьей стороны (п.

3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).В уведомлении необходимо указать (п.

3 ст. 86 ТК РФ):

  1. возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
  2. предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  3. цели получения персональных данных работника у третьего лица;
  4. способы получения данных, их характер;

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин.

Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч.

2 ст. 9 Закона о персональных данных).Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз.

2 ст. 9 Закона о персональных данных).Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п.

4 ст. 86 ТК РФ, п. 1 ч. 2 ст.

10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных).

А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч.

7 ст. 9 Закона о персональных данных).Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п.

2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз.

1 Разъяснений Роскомнадзора):

  • в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  • от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).
  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  • из документов (сведений), предъявляемых при заключении трудового договора;
  • по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз.

2 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.Шаг 1.

Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных.

Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).Шаг 2.

Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации.

В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение.

В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.Шаг 4.

На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  1. журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  2. журнал проверок наличия документов, содержащих персональные данные работника.
  3. заявления работников о согласии на обработку персональных данных;

Шаг 5.

Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.
Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  1. должным ли образом осуществляется хранение и защита персональных данных;
  2. ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  3. соответствует ли документация об их обработке требованиям законодательства и т.д.
  4. от всех ли работников получено согласие на обработку персональных данных;

Источник: https://School.Kontur.ru/publications/1583Работа с персональными данными в организации — это упорядоченный процесс, который должен проводиться в соответствии с требованиями закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

О правилах и алгоритме действий организации в данной сфере расскажет предлагаемая нами статья. Персональные данные — понятие и составОбщие правила, порядок действий, инструкция по работе с персональными данными в организацииОхрана личных данных и предоставление (передача) их третьим лицамСогласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей.

Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных.

Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  1. имя, фамилию и отчество;
  2. данные об образовании и профессии;
  3. адрес пребывания;
  4. дату и место рождения;
  5. номер телефона;
  6. сведения о семейном, имущественном положении, доходах и т. п.

Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д. При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме. Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных.

Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона.

Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:

  • Для защиты жизни, здоровья и иных значимых интересов гражданина.
  • В иных ситуациях по просьбе или с разрешения гражданина.
  • Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
  • В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  1. объем и характер собираемой информации должны соответствовать поставленной цели;
  2. хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).
  3. недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;

Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.К таковым мерам, в частности, следует отнести:

  1. назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;
  2. применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т. д.;
  3. осуществление внутреннего контроля за обработкой личных данных;
  4. проведение инструктажа, ознакомления работников с правилами обработки персональных данных.
  5. издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;

Часть 4 статьи 18.1 ФЗ № 152 указывает, что организации необходимо представить по запросу контрольно-надзорных органов документы и локальные акты (инструкцию, положение, приказ и т.

д.) либо подтвердить иным способом принятие мер, направленных на защиту прав и интересов граждан, чьи данные подлежат обработке. Более того, часть 2 статьи 18.1 ФЗ № 152 обязывает организацию обеспечить доступ к данным документам всех заинтересованных лиц.При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т.

п.) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687. Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:

  • Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
  • В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
  • Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.
  • В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
  • Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.

Практикам также следует учитывать, что пункт 8 указанного положения содержит ряд дополнительных требований к ведению типовых форм, обеспечивающих пропуск гражданина на территорию оператора.

Так, необходимость ведения учетных форм и требования к ним должны быть прямо прописаны в нормативном акте организации, а копирование информации, содержащейся в подобных документах, запрещается.В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119.

Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:Источник: https://pravo-urfo.ru/biznes/kak-vedetsya-rabota-s-personal-nymi-dannymi-v-organizacii-narodnyy-sovetnik.htmlТД следующих персональных данных: – фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование и повышение квалификации или наличие специальных знаний; профессия (специальность); – общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы; состояние в браке, состав семьи, место работы или учебы членов семьи и родственников; – паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона; идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография; – сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (могут быть добавлены и другие данные).Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  1. адрес пребывания;
  2. дату и место рождения;
  3. имя, фамилию и отчество;
  4. данные об образовании и профессии;
  5. номер телефона;
  6. сведения о семейном, имущественном положении, доходах и т.

п.Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т.

д.Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.4.3.Работодателем; — правовые основания и цели обработки персональных данных; — цели и применяемые Работодателем способы обработки персональных данных; — сроки обработки персональных данных, в том числе сроки их хранения; — информацию об осуществленной или о предполагаемой трансграничной передаче данных; — свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; — определение своих представителей для защиты своих персональных данных; — доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; — требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона.Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения. Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст.

65 Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе.

Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно.Исходя из этого, применяется один из четырех уровней защиты.

Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Трудовым Кодексом, иными федеральными законами и настоящим Положением. 3.4. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3.5. Работники не должны отказываться от своих прав на сохранение и защиту тайны.

3.6. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. 3.7. Для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, Работодатель назначает ответственного за организацию обработки персональных данных.
3.7. Для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, Работодатель назначает ответственного за организацию обработки персональных данных. 3.8.Источник: http://agnbotulinum.com/poryadok-raboty-s-personalnymi-dannymi-v-organizatsii/С конца лета Закон о персональных данных действует в новой редакции.

Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот.

В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).

Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Речь идет о таких данных, как:

  1. пол;
  2. адрес;
  3. дата и место рождения;
  4. физиологические особенности, здоровье;
  5. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  6. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  7. деловые и иные личные качества;
  8. зарплата, другие доходы;
  9. владение недвижимым имуществом, денежные вклады и др.;
  10. должность (профессия);
  11. семейное положение;
  12. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  13. фамилия, имя, отчество;
  14. другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл.

1 на с. 76.Таблица 1. Документы, в которых содержатся персональные данные работниковNДокументСведения1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности9Документы обязательного пенсионного страхованияФ.И.О., личные данные10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работникаСогласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п.

2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  1. накопление;
  2. запись;
  3. уточнение (обновление, изменение);
  4. передача (распространение, предоставление, доступ);
  5. извлечение;
  6. блокирование;
  7. хранение;
  8. сбор;
  9. удаление;
  10. обезличивание;
  11. уничтожение персональных данных.
  12. использование;
  13. систематизация;

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.Таблица 2. Структура Положения о персональных данных работниковNОбязанность раздела1Общие положенияЦель принятия ПоложенияВопросы, которые регулирует ПоложениеСсылки на нормативные акты.

Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ2Основные понятия.

Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)Перечень документов организации, которые содержат персональные данные3Получение персональных данных работниковПроцедура получения персональных данных.

Указывается, что данные получают и обрабатывают на основании письменного согласия работника.

Указываются случаи, когда согласие не нужно4Использование персональных данныхЦели использования личной информации сотрудников5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данныхВведение Положения в действиеПоложение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.Образец приказаЕсли в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст.

372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться. Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения.
Первый – согласиться. Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл.

61 Трудового кодекса.Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  1. – листе ознакомления с Положением (образец на с. 91);
  2. в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  3. – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актамиN п/пНаименование локального нормативного актаДатаПодпись1Правила внутреннего трудового распорядка ООО “Черный лес”Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymiВозможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья. Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы.

Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.ВниманиеВ случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.

24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. 3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях: — персональные данные являются общедоступными; — персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно; — по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом. 3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.5. Форма письменного согласия утверждается генеральным директором Компании.Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  1. хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).
  2. объем и характер собираемой информации должны соответствовать поставленной цели;
  3. недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;

Общие правила, порядок действий, инструкция по работе с персональными данными в организации Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.

Организация работы с персональными данными

Вы здесь Опубликовано 2012-02-19 13:43 пользователем Valeratal С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации.

Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).

Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  1. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  2. семейное положение;
  3. владение недвижимым имуществом, денежные вклады и др.;
  4. другие сведения.
  5. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  6. зарплата, другие доходы;
  7. адрес;
  8. физиологические особенности, здоровье;
  9. деловые и иные личные качества;
  10. должность (профессия);
  11. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  12. пол;
  13. дата и место рождения;
  14. фамилия, имя, отчество;

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О.

работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  1. передача (распространение, предоставление, доступ);
  2. хранение;
  3. запись;
  4. сбор;
  5. систематизация;
  6. уничтожение персональных данных.
  7. удаление;
  8. обезличивание;
  9. уточнение (обновление, изменение);
  10. блокирование;
  11. накопление;
  12. извлечение;
  13. использование;

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ.

Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с.

80. Таблица 2. Структура Положения о персональных данных работников N Обязанность Содержание раздела 1 Общие положения Цель принятия Положения Вопросы, которые регулирует Положение Ссылки на нормативные акты.

Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ

«О государственной гражданской службе Российской Федерации»

; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ 2 Основные понятия.

Состав персональных данных работников Основные понятия.

Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д.

Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) Перечень документов организации, которые содержат персональные данные 3 Получение персональных данных работников Процедура получения персональных данных.

Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно 4 Использование персональных данных Цели использования личной информации сотрудников 5 Обработка персональных данных Условия, соблюдаемые при обработке персональных данных работника 6 Передача персональных данных (доступ к персональным данным) Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) 7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных Введение Положения в действие Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст.

372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения.

Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса. Работники должны быть ознакомлены с Положением под роспись (п.

8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  1. — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
  2. в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  3. — листе ознакомления с Положением (образец на с. 91);

Образец листа ознакомления с локальными нормативными актами N п/п Наименование локального нормативного акта Дата Подпись 1 Правила внутреннего трудового распорядка ООО «Черный лес» 03.10.2011 Евстахов 2 Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» 03.10.2011 Евстахов 3 Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 03.10.2011 Евстахов 4 Положение о персональных данных 03.10.2011 Евстахов 5 Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» 03.10.2011 Евстахов Фрагмент журнала ознакомления с Положением о персональных данных N п/п Ф.И.О. работника Дата ознакомления Подпись 1 Алексеева Диана Николаевна 15.08.2011 Алексеева 2 .

. . 6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов 7 .

. . 8 . . . 9 . . . Примечание. Срок хранения персональных данных Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно.

Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558. Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл.

3. Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников Нарушение Ответственность Норма законодательства Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб. Статья 13.11 КоАП РФ Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей Для должностных лиц: от 4000 до 5000 руб.

Статья 13.14 КоАП РФ Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92). Образец приказа Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным.

Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+