Просто о сложном: как правильно составить положение о персональных данных? Все нюансы и образец документа
Под персональными данными подразумевается любая информация о конкретном физическом лице – сотруднике какого-либо предприятия.
Помимо стандартных сведений о каждом работнике, персональные могут включать, например, такие, как: религиозные и политические убеждения, информацию о состоянии здоровья или среднегодового дохода.
Скрыть содержание
- Определение
- Чем отличается от политики обработки ПД?
- Кем составляется?
- Содержание
- Последствия нарушения закона
- Пошаговая инструкция по составлению
- Для чего нужна комиссия?
- Что такое лист ознакомления?
- Для чего нужно приложение?
Определение
Положение о персональных данных – документ об основных аспектах работы с личными сведениями сотрудника, необходимых работодателю.
Чем отличается от политики обработки ПД?
Положение о персональных данных содержит перечень обязанностей по получению личных сведений, их хранению, передаче и защите. Политика определяет цели и общие принципы обработки, а также методы защиты личной информации.
Кем составляется?
Положение в соответствии со ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ разрабатывается на каждом предприятии, в том числе и в обществах с ограниченной ответственностью (ООО), и включается в кадровый документооборот организации.
Важно. С копией Положения о персональных данных под расписку должны быть ознакомлены все сотрудники(п.п. 6 п. 1 ст. 18.1 закона № 152-ФЗ).Содержание
Содержание Положения о персональных данных:
- Общие положения.
- Документы, содержащие информацию о личных сведениях о сотруднике:
- документы, связанные с семьей сотрудника;
- о состоянии здоровья сотрудника и родственников первого порядка;
- документы, подтверждающие право на дополнительные гарантии и компенсации;
- о беременности сотрудницы и возрасте детей;
- документы, предъявляемые при трудоустройстве.
- Обработка личных сведений о сотруднике:
- получение;
- хранение информации о работнике;
- использование личных сведений;
- доступ к данным работника третьих лиц (физических, юридических).
- Организация защиты персональных данных работника.
- Обязанности работника по обеспечению достоверности его персональных данных.
Также положение может включать приложения.
Последствия нарушения закона
Какова политика Роскомнадзора в отношении обработки данных и обеспечении их безопасности? Работодатели организаций могут получать письма от Роскомнадзора, которые предупреждают о возможности при проверке получить серьезные штрафы за нарушение закона № 152-ФЗ от 27.07.2006 “О персональных данных”.
За нарушение закона предусмотрены меры дисциплинарной, материальной, административной и уголовной ответственности. Административная ответственность предусмотрена ст. 13.11 и 13.14 КоАП. Материальная ответственность в виде штрафов составляет:
- для должностных лиц 500 – 1000 руб.;
- для организации 5000 – 10 000 руб.;
- для должностных лиц (в связи с исполнением служебных обязанностей) 4000 – 5000 руб.
Пошаговая инструкция по составлению
В документе обязательно освещаются такие факторы:
- Порядок хранения.
Работодателю необходимо составлять правила, касающиеся порядка хранения и использования информации, опираясь на Федеральный закон. Эти правила закрепляются в нормативном акте, чаще всего это “Положение о защите персональных данных работников”.
Личная информация о работниках хранится в особых папках в специально отведенных помещениях с личными делами сотрудников. Еще один способ хранения – электронные базы (в таком случае нужно иметь резервную копию).
- Использование.
Утверждается в том же нормативном акте – Положении. Информация может использоваться только для решения рабочих вопросов. Передавать ее третьим лицам разрешается только после уведомления в этом сотрудника и его письменного согласия, учитывая, что передавать можно лишь ту информацию, которая требуются для решения той или иной проблемы.
Если использование данных касается таких вопросов, как занесение в личное дело, согласие сотрудника не нужно.
Важно. Перед началом использования данных, находящихся на хранении, необходимо уведомить Роскомнадзор.Подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан читайте тут.
- Разграничение прав доступа к обрабатываемым данным.
Доступ к личным сведениям имеют только уполномоченные лица. Информация об этом должна содержаться в определенных приказах или инструкциях.
С письменного разрешения сотрудников могут существовать общедоступные списки с их личными сведениями (инициалы, телефоны, адреса).
- Общие положения.
В данном разделе допустимо ссылаться на ФЗ «О персональных данных» №152, Трудовой кодекс и Конституцию РФ. Также стоит определить порядок обработки информации о сотрудникахорганизации.
- Сведения об обработке персональных данных.
В этом разделе необходимо подробно расписать, каким образом будет использоваться и храниться личная информация сотрудника. Составление раздела об использовании производится с опорой на Федеральный закон и Трудовой кодекс. Хранение осуществляется особым образом (см. пункт 1).
- Права и обязанности.
Работник обладает правами, закрепленными в Трудовом кодексе. Он может:
- знать характер информации, хранящейся у работодателя, ее содержание, а также способ сбора и обработки;
- иметь возможность доступа к личной информации;
- получать медицинские данные о своем здоровье;
- иметь возможность корректировать или исключать неверную информацию о себе;
- иметь информацию о манипуляциях со своими личными данными;
- определять представителей для защиты персональных данных;
- обращаться в суд при обнаружении неправомерных действий работодателя.
Работник обязан предоставлять верные сведения о себе.
- Ответственность.
Непосредственный доступ к личным сведениям всех сотрудников имеют уполномоченные лица, именно они будут нести ответственность в случае утечки данных. За это сотрудник может быть привлечен к следующим видам ответственности (ст.90 ТК РФ):
- дисциплинарная (применяется работодателем при допущении сотрудником небольшого проступка, не приводящего к серьезным последствиям; сотруднику может быть сделан выговор, применено взыскание или осуществлено увольнение);
- материальная (применяется к сотруднику в случае, если работодатель вынужден был компенсировать урон, нанесенный работнику, чьи персональные данные были разглашены);
- административная (штраф в этом случае составляет 3-5 МРОТ, что указано в ст. 13.11 КоАП РФ);
- гражданско-правовая (в статьях 150-152 ГК РФ предусмотрена денежная компенсация за моральный ущерб потерпевшему гражданину);
- уголовная (если утечка информации наносит непоправимый вред правам и интересам гражданина, в соответствии со ст. 137 УК РФ применяется уголовная ответственность).
- Заключительные положения.
В заключительном положении указывается время вступления Положения в силу и утверждение руководителем организации.
- Скачать бланк положения о порядке хранения и использования и обработки персональных данных с приложениями
- Скачать образец положения о персональных данных сотрудников для ООО
- Скачать образец положения о персональных данных в медицинском учреждении
Подробнее о сборе личных сведений в медицинском учреждении и согласии пациента на обработку персональных данных читайте тут.
- Скачать образец политики обработки персональных данных для МФЦ
- Скачать образец положения о разграничении прав доступа к обрабатываемым персональным данным
- Скачать образец положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Для чего нужна комиссия?
Комиссия является коллегиальным органом, во главе которой стоит председатель. Состав комиссии определяется руководителем организации. Задача комиссии состоит в создании мер по защите личных сведений при обработке, а также в проведении проверок соблюдения законодательства о защите персональных данных. Комиссия участвует в проверке документов, определяющих защиту персональной информации, с целью выявления нарушений.
Обо всех изменениях, которые касаются личных сведений, комиссия также должна оповестить сотрудников.Комиссия осуществляет свою деятельность в соответствии с разрабатываемыми им регламентом и планом работы. Результаты работы предоставляются руководителю предприятия.
Скачать образец положения о комиссии по персональным данным
Что такое лист ознакомления?
Лист ознакомления составляется для оповещения работников с положением о неразглашении конфиденциальных сведений и об особенностях их обработки (а об обязательстве о неразглашении ПД читайте тут). Предприятие вправе разработать лист ознакомления, в котором обязательно указывается: полное название предприятия, суть приказа и составляется таблица.
В таблице нужно указать порядковый номер, ФИО работника полностью, должность прописывается без сокращений. Сотрудник расписывается и ставит дату на момент ознакомления. Печать на таком документе не требуется. Хранится лист ознакомления вместе с положением, с которым знакомился сотрудник.
- Скачать бланк листа ознакомления с положением о персональных данных
- Скачать образец листа ознакомления с положением о персональных данных
Утверждение должно производиться только после согласования его с профсоюзом или другим органом, представляющим интересы работников. После передачи документа профсоюзу, в течении 5 дней должно быть вынесено решение в письменном виде. Если будет несогласие, то вместе с решением предлагают предложения.
Далее после рассмотрения всех разногласий, администрация имеет право принять документ в первоначальном виде, без изменений. В случае, отсутствия профсоюза или другого органа администрация утверждает Положение о персональных данных самостоятельно.
Для чего нужно приложение?
Приложение составляется для перечисления лиц, которые могут запрашивать личные сведения служащих. Это могут быть сотрудники кадровой службы, руководители предприятия. В приложении указывается название предприятия, дата составления, список уполномоченных лиц и занимаемую ими должность.
Положение о персональных данных должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ “О персональных данных”. При разработке Положения его содержание согласуется с руководителями всех отделов, причастных к обработке данных. Готовый документ утверждается приказом руководителя.