Самое важное о документах по защите персональных данных работников в организации: оформление комплекта и образцы. Локальные нормативные акты в свете последних изменений в законодательстве Локальные акты по персональным данным услуги

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

  1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
  2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
  3. Образцы уведомления уполномоченного органа.
  4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
  5. Порядок отношений с распорядителем баз ПД.
  6. Порядок работы с запросами субъектов ПД.
  7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация


Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Какие локальные нормативно-правовые акты должны быть приняты в городском совете в отношении персональных данных муниципальных служащих? Какой алгоритм принятия данных документов?

Ответ

Ответ на вопрос:

На основании ч. 2 ст. 3 Закона № 25-ФЗ на муниципальных служащих распространяется действие трудового законодательства с особенностями, предусмотренными Законом № 25-ФЗ. При работе с персональными данными также нужно учесть и положения Указа Президента от 30.05.2005 № 609 и постановления Правительства РФ от 21.03.2012 № 211

Следовательно, рассмотрев ваш вопрос, можно сказать, что единого перечня локальных нормативных актов, которые должны быть в отделе кадров, не существует: в каждой организации он свой.

Что касается вопроса: Какой алгоритм принятия данных документов?

Порядок разработки локальных нормативных актов законодательно не установлен, поэтому работодатели определяют его самостоятельно.

На практике, порядок разработки локальных нормативных актов можно разделить на следующие этапы:

Также, необходимо назначить ответственного руководителя рабочей группы, который будет координировать участников, и контролировать установленные сроки разработки локального нормативного акта.

В процессе согласования документ передается от лиц, занимающих нижестоящие должности, лицам, занимающим вышестоящие должности.

Согласование локального нормативного акта оформляют реквизитом "Виза согласования документа". Этот реквизит включает подпись и должность визирующего документ, расшифровку подписи (инициалы, фамилию) и дату подписания, например:

  1. Определение вопросов, по которым требуются разработка и утверждение локального нормативного акта . На практике такая потребность выявляется в ходе совещаний, планерок. Сами работники организации могут выступить с инициативой создания локального нормативного акта при выявлении в ходе работы неурегулированных вопросов.
  2. Определение этапов и сроков разработки локального нормативного акта . На практике работодатель устанавливает их при обсуждении вопросов, в отношении которых требуются разработка и утверждение локального нормативного акта.
  3. Создание рабочей группы по разработке локального нормативного акта . Такая группа может состоять из работников отдела кадров, юридического отдела, бухгалтерии. При необходимости включаются руководители подразделений, в отношении которых разрабатывается локальный нормативный акт. Это позволяет решить все спорные вопросы и согласовать документ с заинтересованными подразделениями еще на стадии разработки.
  4. Подготовка проекта локального нормативного акта. На практике такой проект разрабатывает участник рабочей группы, назначенный ответственным исполнителем. Остальные члены группы вправе вносить предложения и замечания в ходе подготовки проекта документа. При необходимости ответственный исполнитель дорабатывает его с учетом внесенных замечаний.
  5. Согласование проекта локального нормативного акта . На данном этапе проект необходимо согласовать с участниками рабочей группы и другими заинтересованными лицами (подразделениями).
  6. После согласования проект передается на утверждение работодателю . Если для принятия локального нормативного акта необходимо учитывать мнение представительного органа работников (профсоюза), то до утверждения работодателем проект документа и обоснование по нему должны быть направлены в этот орган. Такой порядок предусмотрен ст. 372 ТК РФ.

Если в организации есть профсоюз, то до передачи документа на подпись руководителю нужно получить мотивированное мнение профсоюза на данный проект.

Согласно ст. 12 ТК РФ локальный акт вступает в силу со дня его принятия работодателем или со дня, указанного в этом документе.

Работодатель может принять локальные акты следующими способами:

  • утвердить;
  • издать приказ (распоряжение) об утверждении локального акта.

При утверждении локальных актов необходимо руководствоваться нормами "Унифицированной системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. ГОСТ Р 6.30-2003" (утв. Постановлением Госстандарта России от 03.03.2003 N 65-ст).

Также, локальный акт может приниматься путем издания приказа (распоряжения). Унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить ее самостоятельно (образец смотрите ниже). В приказе об утверждении локального акта необходимо отразить:

  • дату введения локального акта в действие;
  • указание об ознакомлении работников с локальным актом и сроки для этого;
  • фамилии и должности лиц, ответственных за соблюдение локального акта;
  • другие условия.

В первом случае, на документе гриф утверждения проставляется справа на верхнем поле первого листа документа. В данной графе "Утверждаю" руководитель организации ставит свою подпись и дату утверждения. С этого момента утверждаемый документ вступает в силу и действует до его замены новым. При этом, необходимо отметить, что при утверждении документа грифом "Утверждаю", в дальнейшем не требуется издавать приказ об утверждении.

Во втором случае, издается приказ (распоряжение). При этом, унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить его самостоятельно. При утверждении документа приказом, гриф утверждения состоит из слова УТВЕРЖДЕН (УТВЕРЖДЕНА, УТВЕРЖДЕНЫ или УТВЕРЖДЕНО), наименования утверждающего документа в творительном падеже, его даты, номера.

Таким образом, можно сказать, что эти два способа утверждения локальных актов являются правомерными.

Подробности в материалах Системы Кадры:

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в

  1. Ответ: Как организовать обработку персональных данных сотрудников
    • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
    • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
    • цель обработки персональных данных;
    • перечень персональных данных, на обработку которых дается согласие;
    • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
    • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
    • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
      • );
  2. иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).
  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Самые важные изменения этой весны!


  • В работе кадровиков произошли важные изменения, которые надо учитывать в 2019 году. Проверьте в формате игры, все ли нововведения вы учли. Решите все задачи и получите полезный подарок от редакции журнала «Кадровое дело».

  • Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году

  • Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.

  • Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.

  • Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации.

Персональные данные работников

Сотрудникам кадровой службы постоянно приходится иметь дело с персональными данными работников организации. Причем деятельность по работе с персональными данными включает не только их получение как у потенциальных, так и у работающих сотрудников, но и обработку, хранение, передачу и иные виды использования этих сведений. Однако не всегда кадровики имеют полное представление о правилах работы с персональными данными, не во всех организациях разработаны и утверждены соответствующие локальные нормативные акты. Нередко имеют место случаи нарушения прав работников на защиту персональных данных. Вместе с тем действующее законодательство устанавливает довольно жесткие меры ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, в связи с чем владение информацией о правилах работы с ними является на сегодняшний день достаточно актуальным.

Основную правовую базу в этой сфере составляют Трудовой кодекс РФ и Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (вступил в силу с 26 января 2007 г., далее - Закон N 152-ФЗ). Редакция ТК РФ, вступившая в силу в октябре 2006 г., внесла изменения в гл. 14 "Защита персональных данных работника", большинство из которых носит технический характер и связано с принятием Закона N 152-ФЗ. Но среди них есть и более существенные изменения, касающиеся передачи персональных данных и наказания лиц, виновных в нарушении порядка получения, обработки и защиты персональных данных. Эти нововведения будут изложены ниже.

Что такое персональные данные?

Прежде всего выясним, какие именно сведения могут быть отнесены к персональным данным.

Согласно ст. 3 Закона N 152-ФЗ персональные данные представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации лицу, в том числе его:

Фамилия, имя, отчество;

Год, месяц, дата и место рождения;

Семейное, социальное и имущественное положение;

Образование и профессия;

Доходы и другая информация.

Как видно, Закон N 152-ФЗ содержит довольно широкий список сведений, относящихся к персональным данным. Приведенный перечень является открытым. Но все ли из этих данных необходимы для успешного осуществления работником его трудовых функций? Безусловно, нет. К примеру, информация о социальном и имущественном положении не относится к трудовой деятельности работника. С учетом этого ТК РФ более узко определяет персональные данные работника.

В частности, в соответствии со ст. 85 ТК РФ персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Другими словами, это сведения, которые могут охарактеризовать человека именно как работника. Каких-либо иных критериев, как и конкретного перечня персональных данных работника, ТК РФ не устанавливает. Как правило, это информация, необходимая для заключения трудового договора, заполнения личной карточки, назначения на другую должность и т.д.

Персональные данные работника содержатся в следующих документах:

В документе, удостоверяющем личность работника;

В трудовой книжке работника;

В страховом свидетельстве обязательного пенсионного страхования;

В документах воинского учета;

В документах об образовании, квалификации или о наличии специальных знаний или подготовки;

В иных документах, представляемых работником (справки, резюме, грамоты и др.);

В приказах по персоналу;

Докладных и аналитических записках;

В материалах служебных проверок и расследований.

Перечень документов, из которых можно почерпнуть персональные данные работника, также является открытым. Кроме того, в зависимости от конкретной ситуации информация может быть предоставлена работником и устно либо путем заполнения различных анкет, опросных листов. Значительная часть бумаг, содержащих персональные данные работника, находится в его личном деле.

Важно, что персональные данные работника относятся к конфиденциальной информации. Конфиденциальность означает, что любое лицо, получившее доступ к персональным данным, не должно допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона N 152-ФЗ). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

Так, к обезличенным персональным данным относятся данные, в отношении которых невозможно определить их принадлежность к конкретному лицу. А если не известно, кому именно принадлежат эти данные, то режим конфиденциальности снимается.

К общедоступным персональным данным относятся данные, доступ к которым с согласия гражданина может быть предоставлен неограниченному кругу лиц (например, с согласия гражданина такие сведения находятся в справочниках, адресных книгах и др.). В общедоступных источниках могут содержаться сведения о профессии, квалификации. Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

Работодатель должен обеспечивать "секретность" персональных данных работника. Как правило, сбором и обработкой персональных данных в конкретной организации занимаются сотрудники кадровых служб или бухгалтеры. В трудовом договоре с работниками, обрабатывающими персональные данные, должны быть предусмотрены обязанности по обеспечению и сохранению конфиденциальности персональных данных.

Справка. Персональные данные отдельных категорий работников могут относиться к сведениям, составляющим государственную тайну. В первую очередь это касается государственных служащих. Так, в соответствии с ч. 5 ст. 14 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" персональные данные, внесенные в личные дела и документы учета государственных служащих, являются персонифицированными и в случаях, установленных федеральными законами и иными нормативными правовыми актами РФ, относятся к сведениям конфиденциального характера. К примеру, согласно ст. 17 Федерального закона от 3 апреля 1995 г. N 40-ФЗ "О федеральной службе безопасности" сведения о сотрудниках органов службы государственной безопасности, выполнявших (выполняющих) специальные задания в специальных службах и организациях иностранных государств, в преступных группах, составляют государственную тайну.

Обработка персональных данных

Поскольку персональные данные - это информация, с которой нужно работать (например, специалистам кадровых служб), законодательство вводит такое понятие, как обработка персональных данных, и устанавливает конкретные требования к работе с ними.

Согласно ст. 85 ТК РФ обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Закон N 152-ФЗ более подробно раскрывает указанное понятие. Действия (операции) с персональными данными, согласно ст. 3 Закона N 152-ФЗ, включают:

Систематизацию;

Накопление;

Хранение;

Уточнение (обновление, изменение);

Использование;

Распространение (в том числе передачу);

Обезличивание;

Блокирование;

Уничтожение персональных данных.

Таким образом, под обработкой персональных данных подразумеваются любые действия, производимые с персональными данными. Например, формирование списков работников по организации, по структурным подразделениям, профессии, образованию и др.

Статья 86 ТК РФ устанавливает следующие требования к обработке персональных данных работника, предъявляемые к работодателю (соответственно, и к работнику кадровой службы) и направленные прежде всего на защиту персональных данных:

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно для соблюдения действующего законодательства, содействия работникам в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Следовательно, в каких-либо иных целях организации обработка персональных данных запрещена.

2. При определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. То есть сведения, непосредственно не характеризующие человека как работника, не могут быть истребованы у него или переданы третьим лицам и др.

3. Важное требование, нередко нарушаемое на практике, устанавливает п. 3 ст. 86 ТК РФ: все персональные данные работника должны быть получены от него самого. В случае, когда указанные сведения можно получить только у третьей стороны, работника следует уведомить об этом заранее. Но одного уведомления недостаточно, необходимо также получить его письменное согласие. При уведомлении работника следует сообщить о целях, предполагаемых источниках и способах получения персональных данных, о характере этих данных и о последствиях отказа работника дать письменное согласие на их получение. Соответственно, сбор сведений о работнике без его ведома не допускается.

4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Обратите внимание, что если запрет на получение и обработку данных о политических и религиозных убеждениях является безусловным, то ТК РФ разрешает получение данных о частной жизни, но только в случаях, непосредственно связанных с вопросами трудовых отношений, и лишь с письменного согласия работника.

5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности.

6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, полученных исключительно путем их автоматизированной обработки или электронного получения. Указанный запрет связан с тем, что полученные данные могут быть использованы не в том контексте. В каждой ситуации необходимо руководствоваться информацией, полученной путем комплексного сбора информации.

7. Защита персональных данных от неправомерного их использования или утраты обеспечивается работодателем за счет его средств и в порядке, установленном ТК РФ и другими федеральными законами. Это обязанность работодателя, осуществляемая за его счет.

8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Такими документами могут быть положение, инструкция и др.

9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Так, если в трудовой договор будет включена норма о том, что работник отказывается от указанного права, то в этой части трудовой договор будет считаться недействительным.

10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных актов о персональных данных.

Хранение и использование персональных данных

Согласно ст. 87 ТК РФ работодатель должен установить порядок хранения и использования персональных данных работников. Соответствующие нормы могут быть включены в локальный акт организации о персональных данных. При этом они должны отвечать требованиям, установленным ТК РФ и иными федеральными законами.

Основные документы, содержащие персональные данные работника, объединяются, как правило, в его личное дело. Порядок ведения и хранения личного дела устанавливается работодателем. Вместе с тем сроки хранения документов, содержащих персональные данные работника, определяются в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой России 6 октября 2000 г., в ред. Решения от 27 октября 2003 г.). Так, личные дела руководителя организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно. Личные дела остальных работников хранятся в течение 75 лет.

Главным документом о трудовой деятельности и трудовом стаже работника, содержащим и его персональные данные, является трудовая книжка. Порядок хранения трудовых книжек устанавливают Правила ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225). Согласно п. 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на работодателя. Для этого приказом (распоряжением) работодателя назначается специально уполномоченное лицо.

Постановлением Госкомстата России от 5 января 2004 г. N 1 утверждены унифицированные формы первичной учетной документации по учету труда и его оплаты, в соответствии с данным Постановлением работодатель осуществляет хранение указанных документов.

Распоряжением Правительства РФ от 21 марта 1994 г. N 358-р предусматривается, что в целях обеспечения сохранности документов по личному составу увольняемых работников в результате преобразования, реорганизации и ликвидации юридических лиц, а также социальной защищенности граждан, выполняющих работу по договору, учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

Поскольку обязанность по защите персональных данных ТК РФ возлагает на работодателя, то для осуществления такой защиты следует произвести определенные действия по созданию соответствующих технических условий, в частности особый режим доступа в те помещения, где хранятся персональные данные, оборудование мест для хранения такой информации, меры, направленные на защиту персональных данных от случайного уничтожения, утраты, несанкционированного доступа, изменений или распространения персональных данных.

Передача персональных данных работников

Одной из разновидностей обработки персональных данных работника является их передача как внутри организации, так и за ее пределы. Требования к передаче персональных данных работника устанавливает ст. 88 ТК РФ:

1. При передаче персональных данных работника запрещается сообщать их без его согласия:

В коммерческих целях;

Любой иной третьей стороне.

Исключением являются случаи, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также иные случаи, предусмотренные ТК РФ и федеральными законами (например, согласно ст. 228 ТК РФ при несчастном случае на производстве работодатель обязан немедленно проинформировать ряд государственных органов).

Пример 1. ООО "Астана" обратилось к ОАО "Пермэнерго" с просьбой предоставить сведения о бывшем сотруднике ОАО "Пермэнерго". Предоставление таких сведений возможно только при наличии письменного запроса и приложенного к нему заявления самого работника. В заявлении должно быть указано, на предоставление каких именно сведений дает согласие работник.

Например:

Генеральному директору

ОАО "Пермэнерго"

Петрову Ю.Т.

от Иванова А.А.

Заявление

Прошу передать ООО "Астана", где я работаю в настоящее время, копии документов, хранящихся в личном деле.

15.06.2007 Иванов А.А. Иванов

Из этого следует, что персональные данные работников собираются для внутреннего сведения и осуществления нормальной работы организации и без согласия работника не подлежат передаче третьим лицам как письменно, так и устно.

2. Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены. Работодатель вправе требовать подтверждения того, что это правило соблюдено. Лица, получившие персональные данные (в том числе работники кадровых служб), обязаны соблюдать режим секретности (конфиденциальности). Это требование не относится к случаям передачи персональных данных в порядке, установленном федеральными законами (например, случаи, установленные Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности". Согласно ст. 6 указанного Закона при осуществлении оперативно-разыскной деятельности проводятся такие мероприятия, как опрос, наведение справок, отождествление личности, исследование предметов и документов, снятие информации с технических каналов связи и др.).

3. Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым работники должны быть ознакомлены под подпись.

Справка. Новшеством ТК РФ является то, что теперь и индивидуальные предприниматели обязаны передавать персональные данные согласно локальному акту и под подпись работников.

4. Доступ к персональным данным работника разрешается только специально уполномоченным лицам. При этом указанные лица вправе получать только те персональные данные, которые необходимы им для выполнения конкретных функций. Следовательно, документы или информация, содержащая персональные данные работника, может быть частично предоставлена другим сотрудникам.

Например, руководителям структурных подразделений только в пределах их компетенции. На практике сделать это бывает довольно непросто, поскольку значительное количество персональных данных собирается в одном месте и хранится централизованно. Упорядочить работу по передаче указанных данных поможет локальный нормативный акт о персональных данных, в котором может быть прописано, кто именно из руководителей и других работников и в каком объеме исходя из их компетенции имеет доступ к персональным данным работников.

5. Запрещается запрашивать информацию о состоянии здоровья работника, кроме сведений, относящихся к вопросу о возможности выполнения работником его трудовой функции. Запрос такой информации возможен для принятия решения о переводе беременной женщины на другую работу, исключающую воздействие неблагоприятных факторов (ст. 254 ТК РФ).

6. Передача персональных данных работника представителям работников допускается лишь в объеме, необходимом для выполнения представителями указанных ими функций. Так, при расторжении трудового договора по инициативе работодателя на основании п. п. 2, 3, 5 ч. 1 ст. 81 ТК РФ на работника - члена профсоюза работодатель передает профсоюзному органу копии документов, являющихся основанием для увольнения, и проект приказа (ст. 373 ТК РФ).

Права работников на защиту персональных данных, хранящихся у работодателя

Статья 89 ТК РФ предусматривает, что в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Полную информацию об их персональных данных и об обработке этих данных.

К примеру, в соответствии с п. 12 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей (утв. Постановлением Правительства РФ от 16 апреля 2003 г. N 225) работодатель обязан знакомить владельца трудовой книжки под подпись в личной карточке с каждой записью, вносимой в трудовую книжку (о выполняемой работе, о переводе на другую постоянную работу и увольнении);

Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.

Следует иметь в виду, что действующим законодательством за отказ в предоставлении должностным лицом информации предусмотрена уголовная и административная ответственность (ст. 140 УК РФ - штраф от 200 до 500 МРОТ или доход осужденного за период от 2 до 5 месяцев либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет; ст. 5.39 КоАП РФ - штраф от 5 до 10 МРОТ);

Определение собственных представителей для защиты своих персональных данных. В основном представителями работников в отношениях с работодателями являются профсоюзы (в том числе и в вопросах защиты персональных данных), также работник может защищать свои права самостоятельно;

Доступ работника к своим медицинским данным с помощью медицинского специалиста, которого вправе выбрать сам работник;

Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ. Так, согласно п. 27 указанных Правил работодатель обязан оказать работнику необходимую помощь в случаях выявления неправильной или неточной записи в трудовой книжке. При отказе работодателя исключить или исправить персональные данные работника последний вправе заявить в письменной форме о своем несогласии с его обоснованием. При этом персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение правил работы с персональными данными

ТК РФ предусматривает, что лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных работника, могут быть привлечены к дисциплинарной и материальной, гражданско-правовой, административной и уголовной ответственности (ст. 90 ТК РФ).

За нарушение правил работы с персональными данными работников сотрудник организации, ответственный за хранение таких данных, может быть привлечен к дисциплинарной ответственности путем применения к нему одного из дисциплинарных взысканий, предусмотренных ТК РФ (замечание, выговор, увольнение). Дисциплинарные взыскания могут быть наложены только на тех сотрудников, в чьих трудовых договорах содержится обязанность по соблюдению правил работы с персональными данными. При этом трудовой договор с сотрудником, разгласившим охраняемую законом тайну (к которой относятся и персональные данные), может быть расторгнут по инициативе работодателя (пп. "в" п. 6 ст. 81 ТК РФ). Однако нужно иметь в виду, что увольнение по этому основанию возможно именно за разглашение персональных данных. За иные нарушения правил работы с персональными данными работодатель вправе наложить другое дисциплинарное взыскание.

Пример 2. По вине работника кадровой службы ОАО "Цветы Москвы" Сидорова П.А. личные дела сотрудников были залиты водой. Поскольку разглашения персональных данных работников не произошло, то отсутствуют основания для расторжения трудового договора с Сидоровым П.А. по пп. "в" п. 6 ст. 81 ТК РФ. По итогам проведенной проверки ему было сделано замечание.

Что касается административной ответственности, в соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 3 до 5 МРОТ, на должностных лиц - от 5 до 10 МРОТ, на юридических лиц - от 50 до 100 МРОТ.

Кроме того, поскольку персональные данные относятся к конфиденциальной информации, необходимо иметь в виду ст. 13.14 КоАП РФ, которая предусматривает, что разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ, на должностных лиц - от 40 до 50 МРОТ.

К материальной ответственности могут быть привлечены работники, обрабатывающие персональные данные (кадровики), если работодатель должен заплатить работнику, которому был причинен ущерб по их вине. Например, в результате неправильной записи в трудовой книжке (не та формулировка причины увольнения и т.п.) он был лишен возможности продолжать свою трудовую деятельность в иной организации и понес моральный и материальный ущерб.

Привлечение к гражданско-правовой ответственности возможно в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина, и т.д. (ст. ст. 150, 151, 152 ГК РФ).

УК РФ предусматривает наступление уголовной ответственности за злоупотребления и незаконные действия с информационными данными о частной жизни (ст. 137 УК РФ), за неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, если эти деяния причинили вред правам и законным интересам гражданина (ст. 140 УК РФ), и др.

Положение о персональных данных

Согласно ст. ст. 8 и 22 ТК РФ работодатель вправе принимать в пределах своей компетенции локальные нормативные акты, предусматривающие в том числе порядок хранения и обработки информации о персональных данных работника. Локальный акт (документ) организации о персональных данных работника может быть разработан в виде положения или инструкции. Разработкой его занимается, как правило, кадровая служба. Четких требований к структуре и содержанию данного локального акта действующее законодательство не содержит, но по общему смыслу он должен устанавливать порядок обработки персональных данных работников, их передачи, а также права, обязанности работника и работодателя, ответственность за нарушение установленных правил.

Примерная структура положения о персональных данных может выглядеть следующим образом.

1. Общие положения:

Цели и задачи организации в области защиты персональных данных работников;

Понятие и состав персональных данных работников;

Документы, содержащие персональные данные работников;

Порядок получения персональных данных работников.

2. Порядок хранения, использования и передачи персональных данных:

Меры, предпринимаемые к защите от несанкционированного доступа к персональным данным;

Место хранения, лицо, ответственное за хранение персональных данных работников (например, "персональные данные работников вместе с необходимыми документами передаются на хранение в отдел кадров");

Перечень лиц, имеющих доступ к персональным данным работников (руководитель организации, начальник отдела кадров, сотрудники отдела кадров и др.);

Общие требования к передаче персональных данных работников;

Порядок передачи персональных данных работников в пределах организации (в какое подразделение может быть передана соответствующая информация, порядок ее хранения в этих подразделениях, перечень лиц, имеющих право доступа к указанной информации в данных подразделениях).

3. Обязанности работодателя по хранению и защите персональных данных работников:

Обязанности по обеспечению защиты персональных данных, ознакомлению работников с внутренними документами, регламентирующими работу с персональными данными, обеспечению доступа к персональным данным и др.

4. Права работников на защиту персональных данных:

Право на бесплатный доступ к своим персональным данным, на получение копий любой записи, на определение своих представителей для защиты своих персональных данных и др.

5. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Перечень лиц, имеющих доступ к персональным данным работников организации, целесообразно оформить в качестве приложения к положению о персональных данных.

Приложение

к положению о персональных данных

Список лиц, имеющих доступ к персональным данным работников

Генеральный директор Дорошенко Н.Н. Дорошенко

С положением каждый работник должен быть ознакомлен под расписку, которая остается у работодателя.

Расписка

Я, Иванов Петр Сергеевич, ознакомлен с положением о персональных данных работника, права и обязанности в области персональных данных мне разъяснены.

12.01.2007 Иванов С.П. Иванов

Напомним, что разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, неисполнение которой может повлечь привлечение к административной ответственности по ст. 5.27 КоАП РФ, а именно наложение административного штрафа на должностных лиц в размере от 5 до 50 МРОТ; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от 5 до 50 МРОТ или административное приостановление деятельности на срок до 90 суток; на юридических лиц - от 300 до 500 МРОТ или административное приостановление деятельности на срок до 90 суток.

Судебно-арбитражная практика. Общество с ограниченной ответственностью (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении п. 8 ст. 86 ТК РФ, поскольку работник Общества Г. не был ознакомлен под подпись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Общество обратилось в Арбитражный суд г. Москвы о признании незаконным постановления Государственной инспекции труда г. Москвы. Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, вывод суда о нарушении Обществом норм трудового законодательства не соответствует фактическим обстоятельствам и имеющимся в деле доказательствам, поскольку на момент проведения проверки Г. не являлся работником Общества, поэтому не требовалось его знакомить с документами, устанавливающими порядок обработки персональных данных.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что у Общества была реальная возможность для соблюдения правил и норм трудового законодательства, но оно свою обязанность не выполнило без наличия уважительных причин (Постановление ФАС Московского округа от 27 ноября 2006 г. N КА-А40/11424-06).

Судебно-арбитражная практика. Страховое общество (далее - Общество) обратилось в суд с кассационной жалобой, в которой просило отменить Постановление суда апелляционной инстанции.

Из материалов судебного дела следует, что постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении Общество было привлечено к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, выразившееся в нарушении ст. ст. 86 - 88 ТК РФ, а именно в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. На Общество был наложен штраф в размере 30 тыс. руб.

Общество попыталось оспорить указанное постановление в судебном порядке. Но Решением Арбитражного суда г. Москвы в удовлетворении заявленных требований было отказано. Постановлением Девятого арбитражного апелляционного суда данное решение оставлено без изменения.

Как указано в кассационной жалобе, по мнению Общества, нарушение является малозначительным, а назначенное наказание - чрезмерно суровым, в связи с чем Обществом был поставлен вопрос об отмене судебных актов, состоявшихся по делу.

Судом в удовлетворении кассационной жалобы было отказано. При этом суд указал, что отсутствуют основания для признания данного правонарушения малозначительным (Постановление ФАС Московского округа от 1 ноября 2006 г. N КА-А40/10787-06).

Таким образом, из статьи и приведенных примеров судебно-арбитражной практики видно, что требования о защите персональных данных работников, заключающиеся в том числе в издании локального нормативного акта организации о персональных данных, носят обязательный характер. Реализация их на практике позволит избежать привлечения к ответственности, а также дополнительных затрат в случае проведения проверок.

Г.А.Соколова Юрист юридического департамента ООО "Орион-Эстейт"
Подписано в печать 28.06.2007 "Кадровая служба и управление персоналом предприятия", 2007, N 7

  • Кадровое делопроизводство

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1. Уведомление об обработке персональных данных.

Основание:

ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Изменения в уведомление об обработке персональных данных.

Основание:

Статья 22. Уведомление об обработке персональных данных.

ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения.

ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
3. Приказ Об организации обработки персональных данных.
4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

Основание:

ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
5. Согласие субъекта персональных данных на обработку его персональных данных.

Основание:

ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Основание:

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
7 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

Основание:

Статья 18. Обязанности оператора при сборе персональных данных.

ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.
8. Документы, определяющие политику оператора в отношении обработки персональных данных.

Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

Основание:

Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
9. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Основание:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

Основание:

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.

Основание:

п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
12. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.

Основание:

Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
13. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Основание:

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
14. Документы о классификации информационных систем.

Основание:

Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.
15. Типовые формы документов.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.
16. Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.
17. Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
18. Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.

Основание:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
19. Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20. Документы, устанавливающие порядок обработки персональных данных работников.

Основание:

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты:

п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статья 87. Хранение и использование персональных данных работников;

Статья 88. Передача персональных данных работников.
21. Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

п / п

Наименование документа № документа, дата
1. .
2. Акт определения уровня защищенности ИСПДн «________».
3. Акт определения уровня защищенности ИСПДн «……».
4. Акт о выделении к уничтожению документов, неподлежащих хранению.
5. Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6. Акты уничтожения персональных данных.
7. Описание информационной системы персональных данных «Сотрудники».
8. Описание информационной системы персональных данных «Клиенты».
9. Описание информационной системы персональных данных «…..».
10. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».
11. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».
12. Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».
13. Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14. Инструкция пользователя информационной системы персональных данных.
15. Инструкция об организации антивирусной защиты.
16. Инструкция администратора безопасности информационной системы персональных данных.
17. Инструкция администратора информационной системы персональных данных.
18. Инструкция пользователя при обработке персональных данных без средств автоматизации.
19. Инструкция по эксплуатации машинных носителей информации.
20. План внутренних проверок режима защиты персональных данных.
21.
22. Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23. Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….».
24. Положение об обеспечении безопасности персональных данных.
25. Положение об обработке персональных данных в ООО «….».
26. Положение об ответственном за обработку персональных данных в ООО «….».
27. Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
28. Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.
29. Приказ о начале обработке персональных данных.
30. Приказ об ответственных и комиссии по информационной безопасности.
31. Приказ о назначении сотрудников, имеющих доступ в персональным данным.

— список сотрудников.
32. Приказ утверждающий перечень мест хранения материальных носителей персональных данных.

— перечень мест хранения ИСПДн.
33. Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34. Приказ о контролируемой зоне:

— Схема границ.

— Список лиц, имеющих право вскрывать помещение.

— Список лиц, имеющих находиться в помещение.
35. .
36. Перечень информационных систем персональных данных.
37. Согласие сотрудника на обработку его персональных данных.
38. Согласие клиента на обработку его персональных данных.
39. Согласие …. на обработку его персональных данных.
40. Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41. Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42. Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43. Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44. Журнал учета и выдачи машинных носителей персональных данных.
45. Журнал учета проверок, проводимых органами государственного контроля (надзора).
46. Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47. Журнал регистрации входящих конфиденциальных документов.
48. Журнал регистрации исходящих конфиденциальных документов

49. Журнал регистрации и выдачи печатей опечатывающих устройств.
50. Журнал инвентарного учета документов ограниченного распространения.
51. Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52. Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53. Журнал учета хранилищ (сейфов).
54. Журнал учета ключевой информации.
55. Журнал учета движения материальных носителей персональных данных.
56. Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57. Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных. 4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями. 5. Должностные инструкции лиц, ответственных за защиту информации. 6. План мероприятий по защите информации. 7. Перечень защищаемых объектов информатизации. 8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа. 9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами. 10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации. 11. Инструкция по защите речевой информации при проведении конфиденциальных совещаний. 12.

Какие локальные нормативные документы регулируют работу с персональными данными

  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.
  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст.

Какие локальные акты регламентируют работу с персональными данными?

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях. Следующий аргумент в пользу принятия рассматриваемого локального акта — его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда.


Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст.

Защита персональных данных работников: локальные нормативные акты

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ. Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Защита персональных данных: разрабатываем локальные акты учреждения (зайцева г.)

Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением). Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
То есть круг сведений устанавливается в локальном нормативном акте организации — положении о персональных данных. Здесь важно разграничить персональные данные работника и обучающегося, а также документы, содержащие эту информацию.

Локальные нормативные акты работодателя - разберемся в нюансах

Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание — п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ). 3.