Все о работе с персональными данными сотрудников в отделе персонала

Работодатель, принимая персональные данные[1] от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое.

Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Шаг 1. Определяем, какие документы организации содержат персональные данные

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2], гл. 14 ТК РФ.

Персональными данными работника будет следующая информация:

• фамилия, имя, отчество;

• дата и место рождения;

• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

• семейное положение, наличие детей, родственные связи;

• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

• изображение человека (фотография и видеозапись), которое позволяет установить личность;

• деловые и иные личные качества, которые носят оценочный характер;

• другие сведения, которые могут идентифицировать человека.

Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.

К документам организации, содержащим персональные данные работников, относятся:

• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;

• копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;

• личная карточка по форме № Т-2;

• трудовой договор и дополнительные соглашения к нему;

• подлинники и копии приказов по личному составу;

• документы оплаты труда;

• документы об обучении, оценке, аттестации работников;

• базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);

• при необходимости – иные документы, содержащие персональные данные работников.

Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.

Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

Пример положения о защите персональных данных приведен в Приложении.

Шаг 3. Назначаем лицо, ответственное за обработку персональных данных

Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора).

Назначение ответственного лица оформляется приказом (Пример 1). Данная обязанность отражается в должностной инструкции работника.

Шаг 4. Закрепляем права доступа к персональным данным в приказе

Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам. Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

[1] См. также Куролес И.И. Конфиденциальность информации. Что нужно знать секретарю // Секретарь-референт 2018. № 1. С. 78.

[2] В ред. от 29.07.2017, далее – Федеральный закон № 152-ФЗ.

[3] Пункт 1 части первой ст. 3 Федерального закона № 152-ФЗ.

Ю.Ю. Жижерина, независимый консультант по трудовому праву

Материал публикуется частично. Полностью его можно прочитать в журнале «Секретарь-референт» № 5, 2018.

Источник:
http://www.profiz.ru/sr/5_2018/rabota_s_person_dannymi/

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Автор: Алексей Родин
старший специалист по кадровому делопроизводству 1C-WiseAdvice

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.
Читайте также  Основные правила обслуживания АЗС

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Источник:
http://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Как организовать работу с персональными данными в кадровых подразделениях

Е сли в компании нет лишних средств для того, чтобы обратиться к специалистам, которые организуют работу с персональными данными, или платить штрафы за нарушения требований закона в этой сфере, то делать все придется своими силами. Из статьи вы узнаете, на что необходимо обратить внимание, какие документы следует составить и какие сведения являются объектами защиты.

Кадровая служба любой организации независимо от организационно-правовой формы, ведомственной принадлежности и количества сотрудников еще в прошлом году обязана была привести обработку персональных данных (ПДн) своих работников в соответствие с нормами Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и другими действующими нормативно-правовыми актами в области защиты ПДн. Как показывает статистика проверок, проведенных Роскомнадзором в 2010 г. и в первом квартале 2011 г., лишь немногие организации выполнили данную норму закона.

Приведем показательный пример.

Управление Роскомнадзора 1 по Саратовской области летом 2011 г. во время плановой выездной проверки ООО «Центр здоровья «Европласт» на предмет соблюдения требований действующего законодательства в сфере персональных данных выявило следующие нарушения:

  • отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 181 Закона о ПДн);
  • отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 181 Закона о ПДн);
  • отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 181 Закона о ПДн);
  • не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. Закона о ПДн);
  • нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687, далее – Положение);
  • не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).

По результатам проверки компания была оштрафована на 5 000 рублей.

Нормативная база

Оговоримся сразу: статья посвящена исключительно организации работы с ПДн в кадровой службе компании. Обработка персональных данных с иной целью (исполнение обязательств по хозяйственным договорам с физическими лицами, создание клиентских баз, предоставление туристических, образовательных, страховых, медицинских и иных подобных услуг и т.п.) производится по несколько иным правилам и подразумевает другой алгоритм обработки и пакет документов, дополнительные меры защиты.

Для компаний, в которых ПДн обрабатываются с указанными целями, настоятельно рекомендуем не поддаваться соблазну сделать универсальную систему работы с ПДн «для всего» – ввиду различия алгоритмов работы с кадровой документацией и ПДн третьих лиц это неизбежно приведет к путанице и ступору. На наш взгляд, лучше сразу разделить эти алгоритмы и ввести отдельно систему работы с ПДн сотрудников и (в случае необходимости) – с ПДн клиентов и иных сторонних заинтересованных лиц.

Для перфекционистов, сильно продвинутых пользователей и тех, кто хочет максимально приблизиться к идеалу, рекомендуем найти и ознакомиться со следующими весьма любопытными документами:

  1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 15.02.2008;
  2. «Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК РФ 14.02.2008;
  3. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства России от 17.11.2007 № 781;
  4. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК РФ от 05.02.2010 № 58.

Там достаточно подробно, в том числе в схемах, даны ответы на все вопросы. Беда в том, что эти документы крайне тяжелы для чтения и понимания непрофессионалами (видимо, все же не следовало полностью доверять их разработку специалистам-криптографам из ФСБ).

Тем, у кого в штате найдется ветеран соответствующего подразделения ФСБ, ГРУ или.

Источник:
http://delo-press.ru/journals/staff/pravovoe-obespechenie-deyatelnosti/38757-kak-organizovat-rabotu-s-personalnymi-dannymi-v-kadrovykh-podrazdeleniyakh/

Организация защиты персональных данных работников

Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
Читайте также  Бухучет в стоматологии: проводки, примеры, типовые ситуации

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Источник:
http://assistentus.ru/sotrudniki/zashchita-personalnyh-dannyh/

Работа кадровой службы с персональными данными;

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь «оседает» весь объем сведений о работниках. Вот почему процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены, прежде всего, в этой службе.

Правила ведения конфиденциального делопроизводства должны применяться в первую очередь в отношении личных дел сотрудников, в которых содержатся персональные данные. Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении. Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.

Работники отдела кадров должны помнить, что личные дела сотрудников должны храниться строго отдельно от всех других документов в закрывающихся шкафах или ящиках. Необходимо иметь в виду то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения. Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел. В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов. Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей. В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Также следует незамедлительно сообщать уполномоченным лицам об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил. В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.

Более того, в соответствии с частью 3 статьи 57 Трудового кодекса условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.

Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал – один из главных каналов утечки информации. Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных. Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

2.4. Общие требования при обработке персональных
данных работника и гарантии их защиты

Конфиденциальность, сохранность и защита персональных данных в отделе кадров обеспечивается отнесением их к служебной тайне. Работа с персональными данными должна быть организована в строгом соответствии с требованиями к обработке и хранению информации ограниченного доступа. Режим конфиденциальности персональных данных снимается в случаях обезличивания их или по истечении 75 – лет срока хранения, если иное не определено законом.

Персональные данные содержатся в документации отдела кадров. Перечень документов:

· документы, связанные с подбором персонала;

· документы, сопровождающие процесс оформления трудовых правоотношений гражданина (при решении вопросов о приеме на работу, переводе, увольнении и т.п.);

· материалы анкетирования, тестирования, проведения собеседований с кандидатами на должность;

· трудовые договоры, соглашения, устанавливающие взаимоотношения сторон;

· подлинники и копии приказов по личному составу;

· личные дела и трудовые книжки сотрудников;

· дела, содержащие основания к приказам по личному составу;

· дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям и т.п.;

· справочно-информационный банк данных по персоналу;

· учетно-справочный аппарат (картотеки, журналы, базы данных и др.);

· подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству предприятия, руководителям структурных подразделений и служб;

· копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления, муниципальные и другие учреждения.

При работе с персональными данными сотрудниками отделов кадров должны соблюдаться следующие основополагающие принципы по их защите:

· личная ответственность руководства предприятия и работников отдела кадров за сохранность и конфиденциальность сведений о работе отдела и персональных данных, а также о носителях этой информации;

· разбиение (дробление) персональных данных между разными руководителями предприятия и работниками отдела кадров;

· наличия четкой разрешительной системы доступа руководства предприятия и работников отдела кадров к документам, содержащим персональные данные;

· проведения регулярных проверок наличия традиционных и электронных документов, дел и баз данных у работников отдела и кадровых документов в подразделениях предприятия.

Главным является четкая регламентация функций работников отдела кадров по разным видам документов, дел, карточек, журналов персонального учета и баз данных. Посторонние лица не должны знать распределение этих функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе кадров. Под посторонними лицами понимаются не только злоумышленники или их сообщники, но и сотрудники предприятия, функциональные обязанности которых не связаны с работой отдела кадров. Следует также учитывать, что работник отдела кадров не должен быть осведомлен о порядке работы других сотрудников отдела.

Для этого первый руководитель предприятия должен издать приказ о закреплении за работниками отдела кадров определенных массивов документов, необходимого для информационного обеспечения функций, указанных в должностных инструкциях. Должна также быть схема доступа работников отдела кадров и руководящего состава предприятия, структурных подразделений к документам отдела, введена личная ответственность указанных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Не допускается, чтобы работник отдела кадров мог знакомиться с любыми документами и материалами отдела. Целесообразно, чтобы каждый из них был закреплен за определенной группой персонала предприятия и выполнял весь объем функций от подбора кандидата на вакантную должность до хранения документации.

В случае необходимости перераспределения обязанностей среди работников отдела (например, при болезни одного из них) издается соответствующее распоряжение начальника отдела кадров, в котором регламентируется характер изменений, их срок и дополнения к документам, делам и базам данных.

Читайте также  Правила хранения охотничьего оружия и боеприпасов в 2020 году

Источник:
http://studopedia.su/13_153410_rabota-kadrovoy-sluzhbi-s-personalnimi-dannimi.html

Положение о персональных данных работников в 2019 году: образец

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Образец положения о персональных данных 2019

Далее приведем возможный текст положения о защите персональных данных в 2019 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

__________ А.С. Пушкин

9 июля 2019 года

ПОЛОЖЕНИЕ

О работе с персональными данными работников

9 июля 2019 года Москва

1. Общие положения

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Источник:
http://buhguru.com/kadrovaya-rabota/polozhenie-o-personalnyh-dannyh-2019.html