Определяет как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

• дата рождения;
• паспортные данные;
• адрес регистрации и проживания;
• номер СНИЛС;
• информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2019, рекомендуется придерживаться следующей структуры:

№	Раздел	Содержание
1	Основные положения	Цели документа, законы, порядок утверждения
2	Основные понятия	Определения понятий, упортребляемых в документе
3	Состав персональных данных работников	Перечень личных сведений
4	Обработка данных	Условия обработки информации
5	Комплекс документов	Перечень документов, содержащих личные сведения
6	Доступ к персональным данным	Порядок внешнего и внутреннего доступа к информации
7	Защита персональных данных	Комплекс мер для обеспечения безопасности конфиденциальных сведений
8	Права и обязанности работника	Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9	Ответственность за разглашение информации	Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2019

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается . Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ - ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

С 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Это следует из положений Федерального закона от 07.02.2017 № 13-ФЗ). Изменения затронут всех без исключения работодателей, которые связаны с обработкой персональных данных сотрудников и подрядчиков-физических лиц. Более того, можно сказать, что поправки касаются практически всего бизнес-сообщества, взаимодействующего в персональными данными физических лиц (например, владельцев сайтов, которые собирают персональные данные посетителей). Как подготовится к изменениям? Увеличатся ли штрафы? Кто будет выявляться нарушения в обработке персональных данных? Давайте разбираться.

Персональные данные: особая информация

Персональные данные работников – это любая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных»).

У работодателя (организации или ИП) персональные данные работников, чаще всего, обобщаются в их личных карточках и личных делах. При этом почти каждый менеджер отела кадров или HR-специалист знает, что персональные данные допускается получать только лично от работников. Если персональные сведения возможно получить только от третьих лиц, то российское законодательство обязывает уведомить об этом работника и получить от него письменное согласие (пункт 3 части 1 статьи 86 Трудового кодекса РФ).

Работодатели не вправе получать и обрабатывать персональные данные, которые не относятся напрямую к трудовой деятельности человека. То есть, собирать сведения, допустим, о вероисповедании сотрудников – нельзя. Ведь такая информация представляет из себя личную или семейную тайну и никак не может быть связана с выполнением трудовых обязанностей (пункт 4 части 1 статьи 86 Трудового кодекса РФ).

Получив персональные данные, работодатель в силу требований законодательства обязан их не распространять и не раскрывать третьим лицам без согласия работника (ст. 7 Федерального закона от 27 июля 2006 № 152-ФЗ).

Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ. Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Как работодатель обязан защищать персональные данные

В целях защиты и ограничения доступа к персональным данным работодатель должен обеспечить качественную и современную систему их защиты. Как именно это сделать? Этот вопрос решает каждый работодатель самостоятельно. При этом порядок получения, обработки, передачи и хранения персональных данных должен быть закреплен в локальном акте организации, допустим в Положении об обработке персональных данных работников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 № 152-ФЗ).

Также у работодателя должен быть официально назначен работник, который отвечает за работу с персональными данными (ч. 5 ст. 88 ТК РФ). Им может быть, например, работник отдела кадров, которые взаимодействует с личными делами, получает согласия работников на обработку, ведет карточки сотрудников и т.д.

Проверки работодателя по вопросам обработки им персональных данных проводят подразделения Роскомнадзора. Приказом Минкомсвязи России от 14.11.2011 № 312 утвержден Административный регламент исполнения Роскомнадзором функций по осуществлению государственного контроля (надзора).

Какая ответственность применяется к работодателям

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27 июля 2006 № 152-ФЗ). Разберем каждую из этих видов ответственности.

Дисциплинарная ответственность

К дисциплинарной ответственности за нарушения при работе с персональными данными можно привлечь к ответственности работников, которые в силу трудовых отношений обязаны соблюдать правила работы с личными данными, но нарушили их (ст. 192 ТК РФ). То есть, привлечь к ответственности можно, к примеру, менеджера отдела кадров, которому поручена соответствующая работа. За дисциплинарный проступок сбора, обработки и хранения персональных данных работодатель может наказать своего работника, применив к нему одно из следующих взысканий (ч.1 ст. 192 ТК РФ):

• замечание;
• выговор;
• увольнение.

Материальная ответственность

Материальная ответственность работника может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ). Предположим, что ответственный работник отдела кадров допустил грубое нарушение – распространил персональные данные сотрудников в сети Интернет. Работники, узнав об этом, подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В такой ситуации работодатель имеет возможность возложить на виновного сотрудника отдела кадров ограниченную материальную ответственность в пределах его среднего месячного заработка (ст. 241 ТК РФ). Взыскание причиненного ущерба можно осуществить по распоряжению руководителя не позднее одного месяца со дня окончательного установления размера причиненного сотрудником ущерба. Если месячный срок истек, то взыскать ущерб придется через суд. Такой порядок предусмотрен в статье 248 Трудового кодекса РФ.

При полной материальной ответственности сотрудник должен будет полностью возместить организации всю сумму ущерба, возникшего в связи с нарушениями в сфере персональных данных (ст. 242 и 243 ТК РФ). Однако, как правило, на работников, ответственных за обработку персональных данных полную материальную ответственность не возлагают.

Дисциплинарную и материальную ответственность работодатель (к примеру, коммерческая организация) применяет исключительно по своему усмотрению. Государственные контролирующие органы (в том числе., Роскомнадзор) в этом процессе участия не принимают.

Административная ответственность

За нарушение порядка сбора, хранения, использования или распространения персональных данных работодателя и должностных лиц контролирующие органы могут привлечь к административной ответственности в виде штрафов, которые могут составлять:

• для должностных лиц (например, генерального директора, главного бухгалтера, кадровика или индивидуального предпринимателя): от 500 до 1000 рублей;
• для организации: от 5000 до 10 000 рублей.

Отдельный (самостоятельный) штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 рублей. Такие меры ответственности описаны в статьях 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность

Уголовная ответственность для директора, главного бухгалтера или начальника отдела кадров компании или другого лица, ответственного за работу с персональными данными, может наступить за незаконные действия:

• сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

За такие нарушения в части обращения с персональными данными допускаются следующие меры уголовной ответственности:

• штраф до 200 000 рублей (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются жестче:

• штрафом от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет (статья 137 Уголовного кодекса РФ).

Что изменится с 1 июля 2017 года

Федеральный закон от 07.02. 2017 № 13-ФЗ расширил перечень оснований для привлечения работодателя к административной ответственности в области защиты персональных данных, а также увеличил размеры административных штрафов. Этот закон вступает в силу с 1 июля 2017 года. Сразу скажем, что административная ответственность в сфере персональных данных существенно ужесточена. При этом важно следующее: вместо единственного вида административной ответственности, описанного в статье 13.11 КоАП РФ, появится семь. Таким образом, за различные нарушения работодателей в сфере персональных данных можно будет применять разные штрафы. Если нарушение по разным составам выявят несколько, то, соответственно, количество штрафов может увеличиваться. Поясним новые составы правонарушений более детально.

Нарушение 1: обработка персональных данных в «иных» целях

С 1 июля 2017 года обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников и передает эти данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Потом рекламные фирмы начинают рассылать работникам на телефон, e-mail и домашние адреса различный спам и рекламные предложения. Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. С 1 июля 2017 года административное наказание может быть следующим:

• или предупреждение;
• или штрафы.

Нарушение 2: обработка персональных данных без согласия

Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):

• ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
• наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись работника.

С 1 июля 2017 года обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обозначенных выше сведений – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

Нарушение 3: доступ к политике по обработке персональных данных

Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Это предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ.

С выполнением этой обязанности на практике сталкиваются многие пользователи сети Интернет. Так, например, когда вы оставляете какую-либо заявку на сайтах и указываете свои ФИО и e-mail, то можете обратить внимание на ссылку на подобные документы: «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п. Однако стоит признать, что некоторые сайты этим пренебрегают и никакой ссылки не приводят. И получается, что человек оставляет заявку на сайте, не знает, в каких целях сайт собирает персональные данные.

Некоторые работодатели также на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить форму «О себе». В таких случаях интернет-сайт также должен обеспечить доступ к «Политике обработке персональных данных».

С 1 июля 2017 года в части 3 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения – невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите. Ответственность по этой статье может выглядеть как предупреждение или административные штрафы:

Нарушение 4: сокрытие информации

Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):

1. подтверждение факта обработки персональных данных оператором;
2. правовые основания и цели обработки персональных данных;
3. цели и применяемые оператором способы обработки персональных данных;
4. наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6. сроки обработки персональных данных, в том числе сроки их хранения;
7. порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10. иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:

Нарушение 5: уточнения или блокировка

Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:

Нарушение 6: сохранность персональных данных

Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки и за данных. С 1 июля 2017 года законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным. А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

Нарушение 7: обезличивание

В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).

Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

С 1 июля 2017 года невыполнение должностными лицами государственного или муниципального органа – оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу – административное нарушение. Возможна ответственность в виде предупреждения или наложения административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Получается, что административные штрафы с 1 июля 2017 года существенно увеличились. При этом установили новые размеры штрафов в зависимости от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организации – на сумму от 15 000 до 75 000 руб. Причем привлекать в ответственности могут по разным составам правонарушений. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

До 1 июля 2017 года максимально возможный административный штраф составлял для организаций – 10 000 рублей. И состав нарушения в статье 13.11 КоАП РФ был одним.

Привлекать к ответственности станет проще

До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

• Полные личные данные работника (Ф.И.О.).
• Сведения о месте и дате появления его на свет.
• Адрес фактический и по регистрации.
• Социальное, семейное, имущественное положение.
• Имеющиеся у работника образование, профессия.
• Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

Скачать образец положения о защите данных сотрудников на 2018 год

Что должно содержать положение о защите персональных данных

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Перечень персональных данных сотрудников

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

Операции с персональными данными

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

Доступ к персональным данным

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

Обязанности работников с доступом к персональным данным

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Права работников в отношении операций с персональными данными

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

Защита персональных данных

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Порядок утверждения положения о персональных данных сотрудников

Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Ответственность за разглашение персональных данных

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

• Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц - 5-10 тыс. р., для предприятий - 30-50 тыс. р.
• Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц - 10-20 тыс. р., на организации - 15-75 тыс. р.
• Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц - 3-6 тыс. р., на предпринимателя - 5-10 тыс. р., на организацию - 15-30 тыс. р.
• Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц - 4-6 тыс. р., на предпринимателей - 10-15 тыс. р, на компании - 25-40 тыс. р.

Первым пунктом в ней значится согласие субъекта (в данном случае сотрудника) на получение, хранение и использование работодателем информации такого рода. Без письменного согласия не обрабатываются и любые биометрические данные - фото и видео, отпечатки пальцев, сканы радужной оболочки глаза, образцы ДНК. Скачать чистый бланкСкачать в.doc Скачать заполненный образецСкачать в.doc Важно: в законном порядке получать и обрабатывать без согласия сотрудника можно только сведения, необходимые для исполнения трудового договора! Читайте по теме в электронном журнале Защита персональных данных: документальное оформление В письменном виде оформляется не только согласие на обработку персональных данных.

Первый

Внимание

Скачать чистый бланкСкачать в.doc Скачать заполненный образецСкачать в.doc Обязательства о неразглашении персональных данных работников-2017 Обязательство о неразглашении персональных данных работника в 2017 году подписывает каждый, кто так или иначе привлекается к их обработке. Основной принцип доступа состоит в целевом использовании информации. Бухгалтер использует сведения о сотруднике для начисления зарплаты и удержания НДФЛ, кадровик - для оформления личного дела и текущей кадровой документации, и так далее.

Во время работы нужно строго соблюдать установленные работодателем требования - не оставлять документы без присмотра, не передавать их третьим лицам, не разглашать пароли доступа к электронным формам, содержащим конфиденциальную информацию и во всем следовать «Положению».

Положение о хранении и использовании персональных данных работников

Инфо

Все остальные работники имеют право на полную информацию только об их персональных данных и обработке этих данных. 4.1.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы. 4.1.3. Получение персональных данных работника третьей стороной без его письменного согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.

4.2. Внешний доступ (другие организации и граждане).

Как оформить приказ об утверждении положения об оплате труда?

К дисциплинарной или материальной ответственности могут быть привлечены специалисты, принявшие на себя обязанности по соблюдению правил работы с персональными данными. Эти условия должны быть прописаны в трудовом контракте, работника необходимо ознакомить с внутренними документами, регулирующими защиту конфиденциальной информации. Материальная ответственность наступает при возможности рассчитать убытки, причиненные в результате противоправных действий (например, при присуждении штрафа предприятию или возмещения ущерба).
Посмотрите видео по теме: Контролирующие органы привлекают работодателя и ответственных лиц за нарушения при сборе, хранении и использовании персональных данных по КоАП. С 1 июля 2017 года ужесточается этот вид ответственности - увеличивается количество штрафов, проще становится сам процесс.

Образец обязательства о неразглашении персональных данных работников

Важно

Лица, составляющие и обрабатывающие эти сведения, должны быть предупреждены о том, что они работают с персональными данными и отвечают за неразглашение информации. Прочитайте полезные статьи по теме: Положение о персональных данных работников 2017 Ст. 87 ТК РФ требует от нанимателя регламентировать работу с личными данными персонала, но не определяет, каким образом это делать. На практике обязанность исполняется созданием Положения о персональных данных или иного локального документа.

Персонал компании необходимо под роспись ознакомить с внутренним актом, а также получить разрешение на обработку сведений. В 2017 году ужесточается ответственность работодателя и уполномоченных лиц за раскрытие конфиденциальных материалов, поэтому следует уделить пристальное внимание содержанию Положения о персональных данных работников и их защите.

Приказ об утверждении положения о персональных данных

Обязательство о неразглашении персональных данных: образец-2017 Когда дело доходит до составления обязательства о неразглашении персональных данных работников, образец поможет сделать все правильно и ничего не упустить из виду. Несмотря на отсутствие унифицированной формы документа, есть ряд условий и реквизитов, без которых не обойтись, в том числе: сведения о работодателе (название, адрес организации); сведения о работнике (должность, паспортные данные); пункт, подтверждающий факт ознакомления с «Положением о защите персональных данных» и другими локальными документами, имеющими отношение к делу; обязательство не разглашать и не распространять (в том числе с целью получения выгоды) конфиденциальные данные; пункт о том, что сотрудник предупрежден об ответственности за разглашение информации ограниченного доступа.

Составляем положение о персональных данных работников — образец 2017

Сообщение сведений о персональных данных работников и персональных данных, содержащихся в административных делах, другим организациям и гражданам разрешается при наличии письменного согласия гражданина и заявления подписанного руководителем организации либо гражданином, запросившим такие сведения. 4.2.1. Предоставление сведений о персональных данных гражданина без соответствующего их согласия возможно в следующих случаях: а) в целях предупреждения угрозы жизни и здоровья; б) при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»; в) при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов. 4.2.2.

Приказ о защите персональных данных работников — образец

Обработка персональных данных работника осуществляется исключительно в целях: а) обеспечения соблюдения законов и иных нормативных правовых актов; б) содействия работникам в трудоустройстве; в) обеспечения личной безопасности работников; г) контроля количества и качества выполняемой работы; д) обеспечения сохранности имущества работника и работодателя. Все персональные данные работника следует получать у него самого, за исключением случаев, если их получение возможно только у третьей сторон. Получение персональных данных работника у третьих лиц, возможно только при уведомлении работника об этом заранее и с его письменного согласия.

Наказ должен содержать такие пункты:

• Дату и место составления;
• Полное название предприятия и его реквизиты;
• Начинается с фразы: «Утвердить (название акта)»;
• Дату, с которой он начинает действовать;
• Фразу об отмене старого распоряжения, как утратившего силу. В предложение вписать его номер и дату;
• Данные об ответственном за исполнение распоряжения, например можно оставить себя: «Контроль исполнения настоящего приказа оставляю за собой» или возложить ответственность на другое лицо фразой: «За контроль исполнения данного приказа отвечает ФИО» или «За исполнение приказа ответственный ФИО».

Приказ об утверждении положения об оплате труда - образец 2017 Правильно составить распоряжение об утверждении положения поможет соответствующий образец. Следуя заполненному образцу, работодатель будет уверен в его актуальности.

УТВЕРЖДЕНО

Приказом об утверждении

Положения об обработке

персональных данных

Начальствующий епископ

С.В. Ряховский

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ЦЕНТРАЛИЗОВАННОЙ РЕЛИГИОЗНОЙ ОРГАНИЗАЦИИ РОССИЙСКИЙ ОБЪЕДИНЕННЫЙ СОЮЗ ХРИСТИАН ВЕРЫ ЕВАНГЕЛЬСКОЙ (ПЯТИДЕСЯТНИКОВ)

1. Общие положения

1.1. Положение об обработке персональных данных (далее - Положение) определяет условия и порядок обработки персональных данных, которая осуществляется Централизованной религиозной организации Российский объединенный Союз христиан веры евангельской (пятидесятников) (далее – Оператор).

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных и обеспечения безопасности (далее - Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), а также следующими нормативными правовыми актами: Гражданский Кодекс Российской Федерации; Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ; Налоговый Кодекс Российской Федерации от 31 июля 1998 г. № 146-ФЗ; Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учёте»; постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее - Ответственный).

2.2. Ответственный обязан:

• обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;
• проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
• проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
• осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее - Нормативные акты);
• доводить до работников под роспись положения нормативных актов при заключении трудового договора, а также по собственной инициативе;
• осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
• организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;
• обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее - Роскомнадзор).

3. Обеспечение безопасности персональных данных

3.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

3.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе Оператора.

3.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.

3.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:

• выполнять определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
• обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе Оператора;
• устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивать регистрацию и учёт всех действий с ними;
• организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе Оператора.

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее - Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.

4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.

4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

5. Взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций РФ (Роскомнадзор)

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.

6. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных

6.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

6.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.