Вопросы к Юристу

Когда ввели положение о защите персональных данных

"Кадровик. ру", 2010, N 8

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Любая кадровая служба ежедневно имеет дело со сведениями, которые законодательство РФ определяет термином "персональные данные". Обращаясь к этой теме, следует иметь в виду, что в Российской Федерации разработана достаточная законодательная база, регламентирующая работу с данной категорией информации .

Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Определение персональных данных работника дано в ч. 1 ст. 85 Трудового кодекса Российской Федерации: "Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника". Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" относит персональные данные к конфиденциальной информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы с персональными данными ее работников.

Таким локальным актом, как правило, является положение о защите персональных данных работников. Этот документ должен регламентировать в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

Законодательными и нормативными правовыми актами не установлено требований к оформлению и содержанию этого документа. Поэтому при его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения. Положение утверждает руководитель организации, и с этого момента оно вступает в силу.

Примерная структура этого документа включает следующие разделы:

1) "Общие положения",

2) "Состав персональных данных работника",

3) "Порядок создания, обработки, хранения персональных данных",

4) "Доступ к персональным данным",

5) "Защита персональных данных".

В разделе "Общие положения" формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяются порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливаются конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел "Состав персональных данных работника" включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

1) фамилия, имя, отчество,

2) дата рождения,

3) место рождения,

5) знание иностранного языка,

7) специальность, профессия,

9) состояние в браке,

10) состав семьи,

11) паспортные данные,

12) адрес места жительства (по паспорту и фактический), дата,

13) адрес регистрации по указанному месту жительства, телефон,

14) сведения о воинском учете,

15) сведения о заработной плате.

В зависимости от направления деятельности организации этот список можно дополнить сведениями об изобретениях и патентах, о наличии государственных наград, допуске к государственной тайне, состоянии здоровья и др. Разрабатывая положение, данный раздел следует составлять после анализа всех учетных форм, применяемых в организации.

Очень часто в раздел включают и перечень документов, которые содержат персональные данные и, следовательно, также относятся к конфиденциальной информации. Это трудовой договор (дополнительные соглашения), приказы по личному составу, анкеты, личная карточка работника, личный листок по учету кадров. Полный список таких документов можно составить, изучая номенклатуру дел кадровой службы.

В разделе "Порядок создания, обработки, хранения персональных данных", как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе "Доступ к персональным данным" устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговариваются порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: "Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия".

Здесь же следует установить и порядок предоставления персональных данных родственникам и членам семей работника. По закону это делается только с письменного согласия работника. Однако раздел "Доступ к персональным данным" можно конкретизировать и указать условия, при которых, например, сведения о заработной плате работника будут сообщаться жене работника, или матери его детей, или лицам, находящимся на его иждивении. Также следует регламентировать состав необходимых документов, подтверждающих право на подобные запросы.

В заключительном разделе положения "Защита персональных данных" перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это могут быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т. д. Следует описать меры защиты данных, хранящихся в бумажной форме, - запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т. п., а также меры защиты сведений на электронных носителях.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" работа с такими сведениями считается неавтоматизированной при непосредственном участии человека. Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку. Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации - коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Проблемным остается вопрос о получении от работника согласия на обработку его персональных данных. Статья 24 Конституции РФ устанавливает, что сбор, хранение и распространение информации о частной жизни лица без его согласия не допускаются. Исходя из этого, многие организации при оформлении приема на работу требуют от работника заполнения письменного согласия на обработку его персональных данных.

Содержание такого согласия установлено ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Этот документ должен включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе,

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных,

3) цель обработки персональных данных,

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных,

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных,

6) срок, в течение которого действует согласие, а также порядок его отзыва.

В то же время следует обратить внимание на ст. 6 того же Закона, которая устанавливает, что согласия субъекта персональных данных не требуется в случаях, когда обработка информации осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку основу трудовых отношений составляет договор между работником и работодателем, следуя этому положению Закона, согласие работника в письменном виде можно и не получать.

Как оформить положение о защите персональных данных сотрудников

Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие,

  • работодатель должен за свой счет обеспечивать защиту персональных данных работника от неправомерного их использования или утраты,
  • работодатель должен под роспись ознакомить работников и их представителей с порядком обработки персональных данных работников, а также с их правами и обязанностями в этой области.

При этом требования к защите персональных данных работников не могут рассматриваться в отрыве от вопросов передачи персональных данных. Так, работодатель при передаче персональных данных работника обязан соблюдать определенные требования. К ним, в частности, относятся (ст.

Положение о персональных данных

Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных. Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников. Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д.

Важность этой области подтверждается тем, что в ТК РФ вопросам защиты персональных данных работников посвящена отдельная глава – гл. 14 «Защита персональных данных работника». О защите персональных данных в организациях расскажем в нашей консультации и приведем образец Положения о защите персональных данных работников 2017.

Защита персональных данных

Проблемным остается вопрос о получении от работника согласия на обработку его персональных данных. Статья 24 Конституции РФ устанавливает, что сбор, хранение и распространение информации о частной жизни лица без его согласия не допускаются. Исходя из этого, многие организации при оформлении приема на работу требуют от работника заполнении письменного согласия на обработку его персональных данных.
Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных Содержание такого согласия установлено статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Приказ и положение о защите персональных данных

  • включающих в себя только фамилии, имена и отчества сотрудников,
  • необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях,
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка,
  • обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных,
  • обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

За какое время нужно утвердить положение о защите персональных данных

Если на предприятии имеется действующий профсоюзный орган, то принятие Положения может проходить только после процедуры согласования документа с данным органом. Для этого проект Положения необходимо передать в профсоюз, который в пятидневный срок должен его рассмотреть.

По истечении этого времени он в письменном виде выдает свое мнение о документе. Если мнение профсоюза выражает несогласие с разработанным документом или какой-либо его части, то вместе с выражением мнения и указанием на спорные моменты орган вносит свои предложения по корректировке Положения.

Руководство организации может либо одобрить предлагаемые изменения, либо в трехдневный срок провести дополнительные обсуждения и придти к компромиссу с профсоюзом. При констатации невозможности достижения согласия между сторонами необходимо составить и подписать соответствующий протокол разногласий.

А, например, обработка персональных данных в случаях, не предусмотренных законодательством РФ, может повлечь штраф на должностных лиц от 5 000 до 10 000 рублей, а на организацию-работодателя – от 30 000 рублей до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ). Обращаем внимание, что штрафы с 01.07.2017 существенно выросли. Если раньше максимальный штраф на организацию за нарушение порядка сбора, хранения, использования или распространения персональных данных составлял 10 000 рублей, то с 01.07.2017 он вырос до 75 000 рублей. Положение о защите персональных данных 2017: образец Учитывая, что работники имеют право на полную информацию об их персональных данных и обработке этих данных, работодатель обязан ознакомить их с соответствующими документами (абз. 2 ст. 89 ТК РФ).


  • http://hr-portal.ru/article/polozhenie-o-zashchite-personalnyh-dannyh
  • http://vip-real-estate.ru/2018/05/03/kogda-vveli-polozhenie-o-zashhite-personalnyh-dannyh/
  • http://pbcns.ru/za-kakoe-vremya-nuzhno-utverdit-polozhenie-o-zashhite-personalnyh-dannyh/