Положение о защите и обработке персональных данных работников: образец на 2024 год

Каждое предприятие должно разработать и применять положение о персональных данных. Этот документ определяет, как хранятся и распространяются личные сведения о сотрудниках. Контролирующие органы вправе затребовать его при проверке. При отсутствии положения работодателю грозит штраф. Расскажем, как составить этот документ.

Общие сведения о персональных данных

Персональные данные — это личные сведения о человеке находятся под охраной закона. К информации, не подлежащей разглашению без согласия субъекта, относятся сведения, прямо или косвенно позволяющие его идентифицировать. Критерии, по которым данные относятся к персональным, изложены в ФЗ № 152 “О персональных данных” от 27 июля 2006 года.

Закон распространяется на личную информацию о субъекте, которую собирают, обрабатывают и хранят операторы персональных данных, или если сбор,обработка и хранение происходят при их участии. К операторам относятся организации, имеющие наёмных сотрудников. В процессе своей деятельности им приходится взаимодействовать с личной информацией о гражданах, принятых на работу.

Зачем работодателю положение о персональных данных

В соответствии со ст. 87 Трудового кодекса и с 152-ФЗ, взаимодействие работодателя с личной информацией о работниках необходимо регламентировать. Это осуществляется путём разработки локальных нормативных актов.

Перечень документов должен охватывать вопросы, касающиеся сбора, обработки и хранения персональной информации о сотрудниках. В документах должны быть раскрыты такие аспекты:

  • сроки и способы, установленные для хранения и обработки;
  • категории субъектов;
  • категории сведений;
  • порядок уничтожения при появлении оснований или в связи с истечением срока хранения.

К СВЕДЕНИЮ

В локальных нормативных актах не должно быть положений, противоречащих действующему законодательству. Также они не должны содержать норм, ухудшающих положение субъекта, ограничивающих или нарушающих его права, налагаются дополнительные обязанности, не предусмотренные трудовым договором.

Закон не даёт чёткого определения, как именно работодатель должен регламентировать порядок обработки и хранения личных сведений. На практике обязанность выполняется путём издания внутренних актов. Компания разрабатывает внутрифирменное положение о защите персональных данных трудоустроенных работников.

Если произошла намеренная или случайная утечка данных, оператор должен уведомить об этом Роскомнадзор не позже, чем через 24 часа после случившегося.

Персональные данные, которые нужно охранять

В соответствии с ФЗ№ 152, персональные данные делятся на несколько категорий: общие, специальные, биометрические, иные.

К сведениям общего характера относят такие:

  • ФИО;
  • дата рождения;
  • семейное положение;
  • данные об образовании;
  • домашний адрес;
  • номер телефона;
  • место регистрации.

Полного перечня персональных сведений законодательство не приводит, однако оно делит специальные сведения на категории и подробно описывает каждую из них. Такие данные необходимо хранить и обрабатывать особым образом.

К специальным относятся следующие данные:

  • национальность;
  • расовая принадлежность;
  • состояние здоровья;
  • личная жизнь;
  • политические, религиозные, философские взгляды;
  • наличие судимостей.

Эта информация о человеке запрашивается в определённых ситуациях, включая:

  • необходимость провести медицинское обследование;
  • страхование субъекта;
  • необходимость предоставления информации в судебные органы;
  • действия, направленные на защиту здоровья и жизни субъекта;
  • противодействие терроризму.

ИМЕЙТЕ В ВИДУ

В случае с медицинским обследованием должна сохраняться врачебная тайна. Сведения о судимости подлежат обработке только в случаях, предусмотренных федеральным законодательством.

Кроме перечисленных случаев, персональные данные субъекта могут обрабатываться, если он выразил на это письменное согласие.

Структура положения о персональных данных

Документ раскрывает и регламентирует внутрифирменные нормы, касающиеся обработки и хранения личной информации, включая:

  • сведения персонального характера, доступ к которым необходим для бизнес-деятельности организации;
  • задачи и цели, решаемые компанией при взаимодействии с данными;
  • операции, выполняемые организацией с применением охраняемых сведений;
  • способы доступа к информации, применяемые в компании;
  • перечень обязанностей работников, которые получают доступ к данным и работают с ними;
  • права работников, получающих доступ к охраняемой информации;
  • ответственность за нарушение порядка при работе с данными и механизм привлечения работников к ней.

Положение о защите персональных данных может включать несколько разделов:

  1. Общие положения.
  2. Порядок определения данных, относящихся к персональным, из общего массива сведений о работниках, обрабатываемых в процессе документооборота и для решения различных бизнес-задач организации.
  3. Перечень действий, которые разрешается выполнять с использованием личных сведений.
  4. Способы получения доступа к охраняемым сведениям.
  5. Перечень прав работников, касающихся доступа к охраняемым сведениям, в случаях, когда это необходимо для осуществления операций с ними.
  6. Ответственность за нарушение порядка взаимодействия с данными, со ссылками на соответствующие законы РФ и локальные акты.

Оформленный документ должен быть заверен руководителем компании. Сотрудникам предоставляют на ознакомление копию положения, в которой они должны расписаться. Основание — закон № 152 ФЗ.

СКАЧАТЬ ОБРАЗЕЦ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В 2024 ГОДУ

Как утвердить положение о защите персональных данных

Положение утверждается приказом руководителя или путём проставления заверительных реквизитов на основном документе. Во втором случае на бланке оставляют место, обычно в шапке. Первый способ более трудоёмкий и увеличивает количество бумажной работы в организации, поэтому многие работодателя предпочитают проставлять заверительные реквизиты. Они состоят из подписи руководителя и печати предприятия.

Если выбрано издание отдельного приказа, его составляют так же, как другие приказы, утверждающие локальные нормативные акты. При введении новой редакции положения её образец прикладывают к приказу.

Образец приказа об утверждении Положения о защите персональных данных

Уведомление Роскомнадзора

С 1 сентября 2022 года все работодатели, которые обрабатывают и хранят сведения о работниках, охраняемые законом, должны уведомлять Роскомнадзор о том, что они будут производить обработку этих сведений. Нововведение распространяется на организации, в которых для хранения и обработки не используются средства автоматизации.

Подготовить и направить уведомление в 2024 году можно через сайт Роскомнадзора.

Ответственность за нарушения

Сведения личного характера необходимо обрабатывать и хранить в соответствии с законодательством РФ и локальными нормативными актами организации. Если будут допущены нарушения, виновники привлекаются к административной и дисциплинарной ответственности. В зависимости от степени вины и тяжести нарушения, может наступить уголовная ответственность.

К серьёзным нарушениям относится получение несанкционированного доступа к информации, размещённной на бумажных носителях и в электронном виде. Также ответственность может наступить за несоблюдение неприкосновенности частной жизни субъекта.

Кроме того, к дисциплинарной и административной ответственности могут быть привлечены лица, непреднамеренно, случайно или с умыслом допустившие утечку личных сведений, в том числе в результате их ненадлежащего хранения.

Образец приказа о назначении ответственного за защиту персональных данных:

Лицо, которое пострадало в результате нарушений, вправе обратиться в суд и потребовать компенсации морального и материального ущерба, полученного в результате неправильного обращения с его персональными данными.

Вывод

Если в организации не применяется положение о персональных данных, как это предусмотрено законом, необходимо составить и утвердить этот документ по всем правилам. В противном случае можно получить штраф от Государственной трудовой инспекции.

Работодатель должен поручить ответственным лицам разработать структуру документа и внести в него необходимые положения. После этого он заверяет положение или издаёт приказ о его утверждении. С этого момента требование закона соблюдено.

Все работники организации, имеющие доступ к личным сведениям о сотрудниках, должны неукоснительно придерживаться порядка хранения и обработки этих сведений. В противном случае работодатель вправе применить к ним дисциплинарное взыскание.

Текст положения о защите персональных данных

Настоящее Положение определяет порядок обработки персональных данных в ООО “Альфа” (далее – работодатель) с целью применения и исполнения законодательства в рамках трудовых и иных непосредственно связанных с ними отношений.

  1. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъекты, персональные данные которых обрабатываются работодателем: соискатели работы, работники, члены их семей, бывшие работники, а также иные лица, персональные данные которых работодатель обязан обрабатывать в соответствии с законодательством (далее – работники).

  1. КАТЕГОРИИ И ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ

2.1. Персональные данные (далее – ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу:

  • фамилия, имя, отчество, дата и место рождения, пол, гражданство, адрес и другие паспортные данные, фотография;
  • ИНН, СНИЛС, номер телефона, адрес электронной почты;
  • профессия, сведения об образовании, владении иностранными языками, местах работы, в том числе о предыдущих;
  • данные воинского учета;
  • сведения о семейном положении и членах семьи, о месте их работы или учебы;
  • доходы, данные банковских счетов и карт;
  • сведения о состоянии здоровья, связанные с возможностью выполнения трудовой функции;
  • иные сведения, связанные с профессиональной деятельностью работника.

2.2. Работодатель создает и/или хранит следующие документы, содержащие ПД:

  • трудовые договоры и дополнительные соглашения к ним;
  • анкеты, тесты и другие результаты испытаний при приеме на работу;
  • копии документов об образовании, о наличии специальных знаний, квалификации и ее повышении, а также материалы аттестации работников;
  • копии документов воинского учета;
  • личные карточки работников, личные дела, трудовые книжки или сведения о трудовой деятельности;
  • приказы по кадрам;
  • отчетные материалы по оценке качества и эффективности работника, служебные и докладные записки, касающиеся работника;
  • медицинские заключения о состоянии здоровья;
  • документы со сведениями о заработной плате, банковских счетах и банковских картах;
  • материалы внутренних расследований (акты, докладные, протоколы и др.);
  • экземпляры отчетов для государственных органов;
  • иные документы, предусмотренные законодательством.

2.3. Источником получения ПД работника является работник. Получение ПД работника у третьих лиц допускается на основании и в порядке, установленных законодательством РФ.

2.4. Цели обработки ПД работника – соблюдение требований законодательства РФ и предоставление сведений:

  • кредитным организациям – для открытия счета, оформления банковской карты, перечисления зарплаты и других выплат;
  • страховым организациям – для заключения договора добровольного страхования работника;
  • организациям, которые проводят обучение, в том числе по охране труда, – для прохождения обучения;
  • работникам ООО “Альфа” и третьим лицам – для выполнения работником трудовой функции.
  1. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Приказом генерального директора назначается лицо, ответственное за организацию обработки ПД (далее – ответственное лицо), а также утверждается перечень лиц, имеющих доступ к ПД в пределах, необходимых для выполнения своих трудовых обязанностей.

3.2. Ответственное лицо:

  • контролирует соблюдение мер по защите ПД;
  • оформляет с лицами, имеющими право доступа к ПД, письменное обязательство о неразглашении ПД;
  • принимает необходимые меры по хранению, обновлению и изменению ПД;
  • принимает необходимые меры по уничтожению либо обезличиванию ПД работников после достижения целей обработки или в случае неактуальности, если иное не предусмотрено законодательством РФ.

3.3. Лица, получившие доступ к ПД работников, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на передачу ПД работников в порядке, установленном законодательством РФ.

3.4. Все лица, получающие доступ к ПД, подписывают обязательство о неразглашении ПД.

  1. СПОСОБЫ И СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка ПД – любое действие, совершаемое с ПД с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Сбор и дальнейшая обработка ПД работника возможны только с его письменного согласия, за исключением случаев, предусмотренных законодательством РФ.

4.2. ПД работников можно обрабатывать на бумажных носителях и в электронном виде. При обработке ПД работодатель обязан соблюдать принципы, ограничения и требования, установленные законодательством РФ.

4.3. Документы, в том числе в электронной форме, содержащие ПД, хранятся в течение срока, установленного законодательством РФ, а если он не установлен – срока, определенного приказом генерального директора. После истечения срока хранения документы подлежат уничтожению.

4.4. Документы на бумажных носителях хранятся в запирающихся на замок шкафах. Доступ к документам в электронном виде возможен только по уникальному логину и паролю.

  1. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Передача ПД третьим лицам допускается только с письменного согласия работника, за исключением случаев предупреждения угрозы жизни и здоровью работника или в иных случаях, предусмотренных законодательством РФ.

5.2. Не допускается получение и передача работодателем информации о состоянии здоровья работника, за исключением сведений, относящихся к возможности выполнения трудовой функции.

  1. УНИЧТОЖЕНИЕ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПД РАБОТНИКОВ

6.1. Ответственное лицо ежегодно не позднее 31 января составляет опись документов, подлежащих уничтожению. Уничтожает документы комиссия, созданная приказом генерального директора. Об уничтожении документов комиссия составляет акт.

6.2. Бумажные документы уничтожают в шредере. Электронные документы удаляют с информационных носителей.

  1. ПРАВА, ОБЯЗАННОСТИ И ОТВЕТСТВЕННОСТЬ РАБОТНИКОВ

7.1. Работник обязан предоставлять работодателю достоверные сведения о себе.

7.2. Работник имеет право на полную информацию о находящихся у работодателя своих ПД и их обработке.

7.3. Право работника на доступ к его ПД может быть ограничено в случаях, установленных законодательством РФ.

7.4. Лица, виновные в нарушении порядка обработки и хранения ПД, несут ответственность в соответствии с законодательством РФ.