Просто о сложном: как правильно составить положение о персональных данных? Все нюансы и образец документа

Под персональными данными подразумевается любая информация о конкретном физическом лице – сотруднике какого-либо предприятия.

Помимо стандартных сведений о каждом работнике, персональные могут включать, например, такие, как: религиозные и политические убеждения, информацию о состоянии здоровья или среднегодового дохода.

Скрыть содержание

Определение

Положение о персональных данных – документ об основных аспектах работы с личными сведениями сотрудника, необходимых работодателю.

Чем отличается от политики обработки ПД?

Положение о персональных данных содержит перечень обязанностей по получению личных сведений, их хранению, передаче и защите. Политика определяет цели и общие принципы обработки, а также методы защиты личной информации.

Кем составляется?

Положение в соответствии со ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ разрабатывается на каждом предприятии, в том числе и в обществах с ограниченной ответственностью (ООО), и включается в кадровый документооборот организации.

Важно. С копией Положения о персональных данных под расписку должны быть ознакомлены все сотрудники(п.п. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Содержание

Содержание Положения о персональных данных:

  1. Общие положения.
  2. Документы, содержащие информацию о личных сведениях о сотруднике:

    • документы, связанные с семьей сотрудника;
    • о состоянии здоровья сотрудника и родственников первого порядка;
    • документы, подтверждающие право на дополнительные гарантии и компенсации;
    • о беременности сотрудницы и возрасте детей;
    • документы, предъявляемые при трудоустройстве.
  3. Обработка личных сведений о сотруднике:

    • получение;
    • хранение информации о работнике;
    • использование личных сведений;
    • доступ к данным работника третьих лиц (физических, юридических).
  4. Организация защиты персональных данных работника.
  5. Обязанности работника по обеспечению достоверности его персональных данных.

Также положение может включать приложения.

Последствия нарушения закона

Какова политика Роскомнадзора в отношении обработки данных и обеспечении их безопасности? Работодатели организаций могут получать письма от Роскомнадзора, которые предупреждают о возможности при проверке получить серьезные штрафы за нарушение закона № 152-ФЗ от 27.07.2006 “О персональных данных”.

За нарушение закона предусмотрены меры дисциплинарной, материальной, административной и уголовной ответственности. Административная ответственность предусмотрена ст. 13.11 и 13.14 КоАП. Материальная ответственность в виде штрафов составляет:

  • для должностных лиц 500 – 1000 руб.;
  • для организации 5000 – 10 000 руб.;
  • для должностных лиц (в связи с исполнением служебных обязанностей) 4000 – 5000 руб.

Пошаговая инструкция по составлению

В документе обязательно освещаются такие факторы:

  1. Порядок хранения.

    Работодателю необходимо составлять правила, касающиеся порядка хранения и использования информации, опираясь на Федеральный закон. Эти правила закрепляются в нормативном акте, чаще всего это “Положение о защите персональных данных работников”.

    Личная информация о работниках хранится в особых папках в специально отведенных помещениях с личными делами сотрудников. Еще один способ хранения – электронные базы (в таком случае нужно иметь резервную копию).

  2. Использование.

    Утверждается в том же нормативном акте – Положении. Информация может использоваться только для решения рабочих вопросов. Передавать ее третьим лицам разрешается только после уведомления в этом сотрудника и его письменного согласия, учитывая, что передавать можно лишь ту информацию, которая требуются для решения той или иной проблемы.

    Если использование данных касается таких вопросов, как занесение в личное дело, согласие сотрудника не нужно.

    Важно. Перед началом использования данных, находящихся на хранении, необходимо уведомить Роскомнадзор.
  3. Подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан читайте тут.

  4. Разграничение прав доступа к обрабатываемым данным.

    Доступ к личным сведениям имеют только уполномоченные лица. Информация об этом должна содержаться в определенных приказах или инструкциях.

    С письменного разрешения сотрудников могут существовать общедоступные списки с их личными сведениями (инициалы, телефоны, адреса).

  5. Общие положения.

    В данном разделе допустимо ссылаться на ФЗ «О персональных данных» №152, Трудовой кодекс и Конституцию РФ. Также стоит определить порядок обработки информации о сотрудникахорганизации.

  6. Сведения об обработке персональных данных.

    В этом разделе необходимо подробно расписать, каким образом будет использоваться и храниться личная информация сотрудника. Составление раздела об использовании производится с опорой на Федеральный закон и Трудовой кодекс. Хранение осуществляется особым образом (см. пункт 1).

  7. Права и обязанности.

    Работник обладает правами, закрепленными в Трудовом кодексе. Он может:

    • знать характер информации, хранящейся у работодателя, ее содержание, а также способ сбора и обработки;
    • иметь возможность доступа к личной информации;
    • получать медицинские данные о своем здоровье;
    • иметь возможность корректировать или исключать неверную информацию о себе;
    • иметь информацию о манипуляциях со своими личными данными;
    • определять представителей для защиты персональных данных;
    • обращаться в суд при обнаружении неправомерных действий работодателя.

    Работник обязан предоставлять верные сведения о себе.

  8. Ответственность.

    Непосредственный доступ к личным сведениям всех сотрудников имеют уполномоченные лица, именно они будут нести ответственность в случае утечки данных. За это сотрудник может быть привлечен к следующим видам ответственности (ст.90 ТК РФ):

    • дисциплинарная (применяется работодателем при допущении сотрудником небольшого проступка, не приводящего к серьезным последствиям; сотруднику может быть сделан выговор, применено взыскание или осуществлено увольнение);
    • материальная (применяется к сотруднику в случае, если работодатель вынужден был компенсировать урон, нанесенный работнику, чьи персональные данные были разглашены);
    • административная (штраф в этом случае составляет 3-5 МРОТ, что указано в ст. 13.11 КоАП РФ);
    • гражданско-правовая (в статьях 150-152 ГК РФ предусмотрена денежная компенсация за моральный ущерб потерпевшему гражданину);
    • уголовная (если утечка информации наносит непоправимый вред правам и интересам гражданина, в соответствии со ст. 137 УК РФ применяется уголовная ответственность).
  9. Заключительные положения.

    В заключительном положении указывается время вступления Положения в силу и утверждение руководителем организации.

Для чего нужна комиссия?

Комиссия является коллегиальным органом, во главе которой стоит председатель. Состав комиссии определяется руководителем организации. Задача комиссии состоит в создании мер по защите личных сведений при обработке, а также в проведении проверок соблюдения законодательства о защите персональных данных. Комиссия участвует в проверке документов, определяющих защиту персональной информации, с целью выявления нарушений.

Обо всех изменениях, которые касаются личных сведений, комиссия также должна оповестить сотрудников.

Комиссия осуществляет свою деятельность в соответствии с разрабатываемыми им регламентом и планом работы. Результаты работы предоставляются руководителю предприятия.

Скачать образец положения о комиссии по персональным данным

Что такое лист ознакомления?

Лист ознакомления составляется для оповещения работников с положением о неразглашении конфиденциальных сведений и об особенностях их обработки (а об обязательстве о неразглашении ПД читайте тут). Предприятие вправе разработать лист ознакомления, в котором обязательно указывается: полное название предприятия, суть приказа и составляется таблица.

В таблице нужно указать порядковый номер, ФИО работника полностью, должность прописывается без сокращений. Сотрудник расписывается и ставит дату на момент ознакомления. Печать на таком документе не требуется. Хранится лист ознакомления вместе с положением, с которым знакомился сотрудник.

Утверждение должно производиться только после согласования его с профсоюзом или другим органом, представляющим интересы работников. После передачи документа профсоюзу, в течении 5 дней должно быть вынесено решение в письменном виде. Если будет несогласие, то вместе с решением предлагают предложения.

Далее после рассмотрения всех разногласий, администрация имеет право принять документ в первоначальном виде, без изменений. В случае, отсутствия профсоюза или другого органа администрация утверждает Положение о персональных данных самостоятельно.

Для чего нужно приложение?

Приложение составляется для перечисления лиц, которые могут запрашивать личные сведения служащих. Это могут быть сотрудники кадровой службы, руководители предприятия. В приложении указывается название предприятия, дата составления, список уполномоченных лиц и занимаемую ими должность.

Положение о персональных данных должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ “О персональных данных”. При разработке Положения его содержание согласуется с руководителями всех отделов, причастных к обработке данных. Готовый документ утверждается приказом руководителя.

Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий