Как ведется работа с персональными данными в организации?

5 шагов по организации учета и хранения персональных данных

Как ведется работа с персональными данными в организации?

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Как ведется работа с персональными данными в организации?

Как ведется работа с персональными данными в организации?

Работа с персональными данными в организации — это упорядоченный процесс, который должен проводиться в соответствии с требованиями закона «О персональных данных» от 27.07.2006 № 152-ФЗ. О правилах и алгоритме действий организации в данной сфере расскажет предлагаемая нами статья. 

Персональные данные — понятие и состав

Общие правила, порядок действий, инструкция по работе с персональными данными в организации

Охрана личных данных и предоставление (передача) их третьим лицам

Персональные данные — понятие и состав

Согласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей.

Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных.

Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  • имя, фамилию и отчество;
  • дату и место рождения;
  • номер телефона;
  • адрес пребывания;
  • данные об образовании и профессии;
  • сведения о семейном, имущественном положении, доходах и т. п.

Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д.

При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме.

Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных.

Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.

Ограничения на сбор и обработку персональных данных

Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона. Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:

  1. Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
  2. Для защиты жизни, здоровья и иных значимых интересов гражданина.
  3. В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.
  4. В иных ситуациях по просьбе или с разрешения гражданина.

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  • объем и характер собираемой информации должны соответствовать поставленной цели;
  • недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;
  • хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).

Общие правила, порядок действий, инструкция по работе с персональными данными в организации

Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.

К таковым мерам, в частности, следует отнести:

  • назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;
  • издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;
  • применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т. д.;
  • осуществление внутреннего контроля за обработкой личных данных;
  • проведение инструктажа, ознакомления работников с правилами обработки персональных данных.

Часть 4 статьи 18.1 ФЗ № 152 указывает, что организации необходимо представить по запросу контрольно-надзорных органов документы и локальные акты (инструкцию, положение, приказ и т. д.

) либо подтвердить иным способом принятие мер, направленных на защиту прав и интересов граждан, чьи данные подлежат обработке. Более того, часть 2 статьи 18.

1 ФЗ № 152 обязывает организацию обеспечить доступ к данным документам всех заинтересованных лиц.

Ручная обработка личных данных

При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т. п.

) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687.

Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:

  1. Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.
  2. Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
  3. В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
  4. В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
  5. Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.

Практикам также следует учитывать, что пункт 8 указанного положения содержит ряд дополнительных требований к ведению типовых форм, обеспечивающих пропуск гражданина на территорию оператора. Так, необходимость ведения учетных форм и требования к ним должны быть прямо прописаны в нормативном акте организации, а копирование информации, содержащейся в подобных документах, запрещается.

Применение автоматизированных систем

В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119. Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.

Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:

Источник: https://pravo-urfo.ru/biznes/kak-vedetsya-rabota-s-personal-nymi-dannymi-v-organizacii-narodnyy-sovetnik.html

Организация работы с персональными данными

Как ведется работа с персональными данными в организации?

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться.

Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • – листе ознакомления с Положением (образец на с. 91);
  • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО “Черный лес”

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Ручная обработка личных данных

При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т. п.

) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687.

Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:

  1. Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.
  2. Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
  3. В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
  4. В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
  5. Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.

Источник: https://pozakonu.site/pravovaya-pomoshh/kak-vedetsya-rabota-s-personalnymi-dannymi-v-organizatsii.html

С чего начинать работу по персональным данным в организации

Как ведется работа с персональными данными в организации?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)? Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)? У вашей фирмы есть клиенты – физические лица? Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д.

с использованием средств автоматизации является оператором Персональных данных. Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч.

ВАЖНО! Статья 19.

Работа с персональными данными

Начнем разбирать вопрос по порядку, а итоговые последовательности действий, позволяющие быстро проверить, все ли в порядке у вашей организации в вопросах защиты персональных данных, мы разместим в разделе «Алгоритм», расположенный сразу за этой статьей.

3. Получение персональных данных от самого их субъекта, т.е. из первых рук. 4. Запрет на получение и обработку специальных категорий персональных данных (ст. 10 ФЗ «О персональных данных») и данные работника о его членстве в общественных объединениях или его профсоюзной деятельности.

5.

Как правильно организовать работу с персональными данными?

Как правильно организовать работу с персональными данными работников организации? Все перечисленные действия требуют знания определенной информации о работнике, а закон называет это «обработкой персональных данных». Персональные данные и их обработка Правовая база к вопросу о персональных данных включает в себя следующие документы:

  1. Трудовой кодекс РФ;
  2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»).

Согласно ст.

Защита персональных данных: что надо знать бухгалтеру

По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами (т.е.

с ноября 2007 года) проведено 3307 проверок. Результатами этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений, и 7591 протокол об административных правонарушениях.

По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались.

Налоги и Право

Небольшие организации и индивидуальные предприниматели обычно не уделяют должного внимания защите персональных данных, полагая, что проверки проводятся только у крупных работодателей.

Работник, по вине которого было допущено нарушение норм, регулирующих обработку и защиту персональных данных других работников, может быть привлечен (статья 90 ТК РФ):

  1. к административной ответственности
  2. к гражданско-правовой ответственности;
  3. к уголовной ответственности.
  4. к дисциплинарной и материальной ответственности;

Персональные данные относятся к информации, доступ к которой ограничен.

Какие документы по персональным данным должны быть в организации обязательно?

Следовательно, к обязательным документам отдела кадров относятся: 5.

Табель учета рабочего времени.

Табель учета рабочего времени необходимо вести в каждой организации на основании ст.

91 ТК РФ, обязывающей работодателя производить точный учет рабочего времени, отработанного каждым работником.

7. Приказы по основной деятельности. Во-первых, такие приказы должны храниться отдельно от приказов по личному составу, во-вторых, у них обязательно должны быть подпись руководителя и в некоторых случаях визы согласования. 10. Локальные нормативные акты.

Это достаточно большой блок документов, ведь именно такими актами работодатель регламентирует свою деятельность и определенные процессы внутри компании. Однако, локальные нормативные акты могут быть, а могут и не быть в организации.

Однако есть такие акты, которые работодатель обязан разработать и ввести в действие в любой организации: Что касается Вашего второго вопроса по уведомлению Роскомнадзора .

Как ведется работа с персональными данными в организации?

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  1. адрес пребывания;
  2. имя, фамилию и отчество;
  3. данные об образовании и профессии;
  4. дату и место рождения;
  5. сведения о семейном, имущественном положении, доходах и т. п.
  6. номер телефона;

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152): Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных. К таковым мерам, в частности, следует отнести:

  1. издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;
  2. применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т.
  3. назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;

Персональные данные: как работать по закону?

То есть, к персональным данным относят: Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст.

65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья. Что еще должен делать работодатель при обработке персональных данных? Согласно п. 7 ст.

86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Как организовать работу с персональными данными в кадровых подразделениях

«Кадровая служба и управление персоналом предприятия», 2012, N 3 КАК ОРГАНИЗОВАТЬ РАБОТУ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В КАДРОВЫХ ПОДРАЗДЕЛЕНИЯХ Приведем показательный пример.

— отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 18.1 Закона о ПДн); — отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 18.1 Закона о ПДн); — не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п.

13 Положения). По результатам проверки компания была оштрафована на 5000 руб.

Источник: http://152-zakon.ru/s-chego-nachinat-rabotu-po-personalnym-dannym-v-organizacii-12444/

Правовой совет
Добавить комментарий