Положения о защите персональных данных нового образца. Защита персональных данных. Использование персональных данных в рабочих целях

К персональным данным относится информация, позволяющая определить конкретное лицо. Федеральным законом от 27.07.2006 № 152-ФЗ определен перечень сведений, в том числе Ф.И.О., пол, возраст, фото и видео человека, образование, место проживания, семейный статус и другие подобные сведения, по которым конкретное лицо может быть идентифицировано.

Ответим в статье на вопросы о необходимости издания и содержании приказа о защите данных, а также ответственности работодателя при его отсутствии.

Зачем нужен приказ о персональных данных

Администрацией учреждения должна быть внедрена система защиты информации, касающейся сведений о работниках. Одним из элементов данной системы является издание распорядительного документа, определяющего алгоритм работы с данными.

Приказ о защите сведений определяет обязанность ответственных лиц обеспечить конфиденциальность персональных данных о сотрудниках и объем допуска каждого должностного лица.

Установленный образец приказа о защите персональных данных работников отсутствует, однако законодательно определено содержание документа, сопровождающего организацию процесса защиты информации:

• назначение ответственного за организацию процесса обработки данных;
• определение перечня лиц, допущенных к сбору, хранению и обработке;
• утверждение положения об обработке и защите конфиденциальных данных.

Как правильно оформить приказ о персональных данных

Хотя образец приказа о персональных данных работников 2019 года не имеет установленной формы, его необходимо оформить по общим требованиями к распорядительным документам.

В шапке документа содержится наименование организации, наименование и номер документа, место и дата составления.

Преамбула должна содержать обоснование его издания (обстоятельства, ставшие причиной для его создания) либо основание (прямая ссылка на конкретный документ или законодательный акт)

Основная часть приказа о персональных данных должна содержать:

• собственно распоряжение об утверждении положения о персональных сведениях, а также о перечне допущенных к их обработке лиц и степени их допуска;
• указание на лицо, ответственное за обеспечение процесса обработки данных, его должность и Ф.И.О.;
• указание ответственному лицу ознакомить работников с распорядительным документом;
• определить работника, который будет контролировать исполнение (может быть сам руководитель).

Руководитель должен подписать документ. Все работники учреждения, использующие в трудовой деятельности подобную информацию, должны быть ознакомлены с ним под подпись.

Образец приказа об изменении персональных данных работника

Как заполнять

Приказ может состоять из следующих разделов:

1. Общие положения. В разделе указывается цель принятия положения и круг вопросов, которые оно регулирует.
2. Основные понятия. Состав сведений о работниках. Необходимо указать, какие конкретно документы в организации содержат указанные данные.
3. Обработка данных. В разделе указаны условия, которые должны быть соблюдены при обработке.
4. Передача данных. Необходимо установить порядок передачи сведений внутри организации, сторонним лицам и государственным органам.
5. Доступ к данным. Включается информация о порядке внутреннего и внешнего доступа к данным о сотрудниках.
6. Ответственность за нарушение норм, регулирующих обработку и защиту информации. Указать, кто в организации несет ответственность за нарушение правил ее хранения и использования.

Положение о персональных данных нужно довести до сведения всех сотрудников. Фактическое ознакомление с положением можно зафиксировать в тексте трудового договора, в положении в листе ознакомления с ним или в журнале ознакомления с локальными нормативными актами учреждения.

Иногда информация о сотруднике меняется (например, в связи с замужеством происходит смена фамилии). В таком случае сотрудник направляет работодателю заявление, на основании которого последний издает приказ о внесении изменений в ряд документов.

Ответственность за отсутствие

Сведения о сотрудниках необходимо защищать от неправомерного доступа. Проверку организации выполнения требований 152-ФЗ осуществляет Роскомнадзор.

В законе прямо не установлены виды нарушений и ответственность за них. 152-ФЗ отсылает работодателя к иным отраслевым законодательствам. Так, УК РФ содержит нормы, предусматривающие ответственность за неправомерное использование информации о сотрудниках.

Основная ответственность за нарушение норм 152-ФЗ — административная, которую можно понести за нарушение порядка сбора, хранения и использования сведений, за их непредоставление по запросу уполномоченных структур.

За нарушение 152-ФЗ должностное лицо может быть привлечено к дисциплинарной ответственности за ненадлежащее исполнение трудовых обязанностей при обработке информации, в том числе увольнению по пп. «в» п. 6 ст. 81 ТК РФ.

Расскажем, как составить положение о защите персональных данных работников-2019 (образец), скачать готовый шаблон и проработать все разделы, чтобы не вызвать претензий со стороны ГИТ и Роскомнадзора.

В статье:

В процессе трудоустройства, а зачастую - даже раньше, еще на этапе предварительного анкетирования и собеседования, работник предоставляет работодателю определенные сведения, носящие личный характер. Такая информация относится к категории конфиденциальной и не подлежит разглашению третьим лицам. Более того, далеко не все виды сведений можно запрашивать - к примеру, вопрос о религиозной принадлежности или политических взглядах соискателя будет неуместным на любом собеседовании.

Работодателю разрешено интересоваться только теми аспектами личной жизни сотрудника, которые имеют непосредственное отношение к его работе и способны повлиять на качество ее выполнения. Подробнее об этом читайте в статье «Какие документы нужно истребовать у сотрудника при приеме на работу». Эксперт расскажет, когда допустимо запрашивать дополнительные документы, не предусмотренные общими положениями ст.65 ТК РФ, о чем необходимо помнить при трудоустройстве иностранца, и почему требовать для ознакомления ИНН (индивидуальный налоговой номер) соискателя можно лишь в редких случаях.

Какие данные считаются персональными

Определение данного понятия содержится в законе №152-ФЗ от 27.07.2006г., ключевом нормативном документе, на федеральном уровне закрепляющем основные нормы и принципы обращения с информацией личного характера. Согласно ст.3 закона №152-ФЗ, персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу). Субъект может предоставлять сведения о себе оператору - государственному или муниципальному органу, работодателю (юридическому или физическому лицу).

Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта. обеспечивается законодательством РФ: вышеупомянутым федеральным законом №152-ФЗ, отдельными статьями Трудового, Уголовного и Гражданского кодексов РФ, а также ст.5.39 и 13.11-13.14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Каждая компания, собирающая личные сведения о своем персонале, должна составить и утвердить положение о защите персональных данных работников-2019 (скачать образец можно в нашей онлайн-базе кадровых документов). Так называется локальный нормативный акт, устанавливающий порядок работы с персональными данными в рамках конкретного предприятия согласно требованиям ст.87 ТК РФ. В сфере государственной гражданской службы разрабатывается «Положение о персональных данных государственного гражданского служащего и ведении его личного дела», как того требует указ президента РФ №609 от 30.05.2005г.

Основные виды сведений личного характера

Условно весь объем персональных данных о том или ином субъекте можно разделить на пять видов:

• общие;
• общедоступные;
• обезличенные;
• специальные;
• биометрические.

Общей информацией считаются паспортные данные человека (фамилия, имя, отчество, дата рождения, семейное положение), адрес, номер телефона, сведения о полученном образовании и т.д. Актуальное законодательство не содержит исчерпывающего перечня общих данных, зато весьма подробно перечисляет разновидности специальных данных, для которых установлены особые правила сбора, обработки и хранения. К ним относятся сведения о:

• состоянии здоровья;
• интимной жизни;
• наличии судимостей;
• вероисповедании;
• философских и политических убеждениях;
• расовой и национальной принадлежности.

Запрашивать специальные данные для обработки можно лишь в строго определенных случаях - в целях медицинского (с непременным соблюдением врачебной тайны) или страхового обслуживания, для осуществления правосудия, в рамках противодействия терроризму, для защиты жизни или здоровья субъекта. Информация о судимости обрабатывается только при наличии федерального закона, устанавливающего необходимость такой обработки. Кроме того, не возбраняется обрабатывать специальные сведения, если сам субъект дал на это письменное согласие или сделал их общедоступными.

Внимание! Общедоступной считается информация, размещенная владельцем в публичных источниках - газетах, журналах, адресных и телефонных справочниках, социальных сетях.

Биометрическими называют сведения о физиологических или биологических особенностях конкретного человека: росте, телосложении, отпечатках пальцев, рисунке радужной оболочки глаза, результатах генетических и иных исследований, позволяющих установить его личность. Иногда без них не обойтись. Типичный случай применения «биометрики» описывается в заметке «Может ли работодатель снимать отпечатки пальцев сотрудников для организации пропускного режима»: результаты дактилоскопии позволяют моментально идентифицировать работника, что очень важно при проведении мероприятий с ограниченным допуском.

Обрабатывать и хранить биометрические данные следует в соответствии с постановлением Правительства РФ №512 от 6.07.2008г. После достижения или утраты цели обработки биометрические, специальные и общие персональные данные должны обезличиваться. Установить принадлежность обезличенных сведений (например, обработанных результатов статистических отчетов и опросов) конкретному человеку невозможно.

Внимание! Данные, которые по объективным причинам не получается обезличивать, должны уничтожаться.

Составляя положение о персональных данных работников (образец-2019), не забудьте прописать правила обработки разных видов информации, в том числе - биометрической, если организация ее собирает и использует в работе.

Какие функции выполняет положение о защите персональных данных-2019

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета - вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д. А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже).

Внимание! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Даже в пределах одной организации передавать личные сведения можно только в соответствии с локальным нормативным актом, с которым весь персонал должен предварительно ознакомиться под роспись. Необходимость такого ознакомления закреплена п.8 ст.86 ТК РФ. Чтобы грамотно составить документ, скачайте образец положения о персональных данных работников 2019: образец разработан с учетом актуальных законодательных требований и разбит на шесть тематических разделов.

Положение о персональных данных работников: образец структуры

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование. Данные можно уточнять, обновлять или изменять, извлекать и передавать (распространять). Если нет необходимости в использовании персонализированной информации, ее обезличивают или уничтожают. Поэтому положение о работе с персональными данными работников (образец-2019) поделено на разделы, посвященные разным этапам обработки информации:

• общие положения;
• получение и систематизация;
• хранение;
• использование;
• передача;
• гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости - объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения. Но даже самое простое типовое положение о персональных данных работника (образец из шести разделов) представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Положение о персональных данных: порядок обработки и хранения информации

Разрабатывая в 2019 году положение о персональных данных, образец можно использовать как основу. Особое внимание следует уделить разделам, посвященным порядку сбора, систематизации и хранения информации. Чем подробнее прописан каждый пункт, тем лучше и безопаснее для работодателя. Если при приеме на работу проводится обязательное анкетирование соискателей, максимально точно опишите процедуру и перечислите конкретные виды запрашиваемых сведений:

Хранение любых носителей личной информации - бумажных, электронных и любых других - предполагает ограничение доступа к ним. В этих целях используются отдельные помещения, сейфы, запирающиеся шкафы, специальные папки и запароленные электронные базы данных. Запрашивать конфиденциальные сведения без особого разрешения может лишь ограниченный круг должностных лиц.

Все эти нюансы нужно внести в положение о защите персональных данных работников-2019; образец соответствующего раздела будет выглядеть примерно так:

Каждый работник имеет законное право знать, как именно и в каком объеме обрабатываются и используются его персональные данные, а также исправлять или исключать неверные, неполные или обработанные с нарушениями сведения о себе.

Положение о работе с персональными данными работников 2019: образец оформления раздела о передаче сведений

Работодателю разрешается передавать сведения личного характера третьим сторонам, но только при определенных обстоятельствах - например, в целях предупреждения угрозы жизни и здоровью работника или в случаях, предусмотренных федеральными законами. При этом данные не становятся общедоступными, а конфиденциально передаются уполномоченному лицу.

Во всех остальных случаях действует норма, закрепленная ст.7 закона №152-ФЗ и требующая каждый раз, когда возникает такая потребность, запрашивать у субъекта согласие на передачу его личных данных. При этом данные передаются в ограниченном объеме, необходимом для выполнения конкретной функции и не более того.

Обязательно добавьте раздел о правилах передачи конфиденциальной информации в положение о персональных данных работников-2019 (образец): скачать готовый документ можно . Пример оформления раздела выглядит так:

Работодатель должен вести учет выдачи любых сведений личного характера, имеющих отношение к работникам предприятия. С этой целью заводится специальный журнал (книга) либо электронный документ. В идеале записи стоит дублировать, сохраняя и на электронных, и на бумажных носителях. О тонкостях электронного документооборота читайте в заметках «Как передать в архив », «Может ли организация вести в электронном виде, не распечатывая» и «Как будут переходить на < ».

Как утвердить положение о персональных данных работников-2019: образец приказа

Утвердить положение о защите персональных данных работников (образец-2019) можно двумя способами: издать отдельный приказ или же просто предусмотреть на бланке основного документа специальное поле для заверительных реквизитов. Работодатели, не желающие множить количество бумажной работы, обычно предпочитают второй способ и добавляют необходимые поля в «шапку»:

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных приказов об утверждении внутренних нормативных актов компании. Рекомендуем ознакомиться со статьей-шпаргалкой «Как принять »: вы узнаете, как сформировать рабочую группу и назначить ответственных должностных лиц, назначить сроки разработки, составить и согласовать с профсоюзом проект документа.

Если ранее работодателем применялась другая редакция положения, при введении в действие новой редакции как образец используется приказ об утверждении обновленных ПВТР или любого другого локального акта:

Внимание! Если в организации есть юридический отдел или штатный юрисконсульт, рекомендуется согласовать с ним положение о защите персональных данных работников-2019 (образец скачать можно на сайте нашего электронного журнала) прежде, чем документ отправится для окончательного утверждения к руководителю предприятия.

Уведомление об обработке персональных данных

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора - извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году. В помощь кадровику - полезная статья «Как уведомить контролирующее ведомство о начале ».

Сразу отметим, что требование об извещении распространяется не на всех работодателей. Согласно ст.22 закона №152-ФЗ, не обязаны составлять уведомление для Роскомнадзора организации, которые:

• обрабатывают полученные сведения в соответствии с трудовым законодательством;
• получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;
• получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;
• запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;
• относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

Ответственность за нарушение правил обработки сведений личного характера

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной, а в некоторых случаях - и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка. Детали - в статье « . Что важно проверить».

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни. Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей. Пострадавшая сторона может через суд потребовать возмещения материального и морального ущерба, нанесенного неправомерными действиями должностного лица.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

ФАЙЛЫ

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

• Ф.И.О.;
• адрес регистрации и места проживания;
• серию и номер паспорта;
• номер свидетельства ИНН;
• СНИЛС;
• о количестве детей, датах их рождения;
• о семейном положении;
• о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

• обработки личной информации сотрудников;
• хранения и пользования данными;
• передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

• какие сведения относятся к категории «персональных»;
• кто имеет доступ к сведениям работников личного характера;
• как осуществляется сохранность персональных данных (на каком носителе);
• в каком порядке происходит обработка информации;
• где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
• на каких основаниях и кому могут передаваться данные о работнике;
• как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
• порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

• о согласии с обработкой своих личных данных;
• о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

• специалистом по кадрам;
• юристом компании;
• помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Приказ должен включать в себя следующие элементы:

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

Ошибки

При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
   • до 70 тысяч рублей (для юридического лица);
   • до 5 тысяч рублей (для ИП).

Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.

2. В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
   • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
   • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
   • производится с добровольного согласия работника, предоставленного в письменном виде.

Сроки хранения документов

В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

Порядок хранения и использования персональных данных работников фирмы определяет положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы положения о защите персональных данных, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

Основное содержание положения о защите персональных данных

В положении должно быть указано следующее:

• цель и задачи фирмы в области
• понятие и состав персональных данных;
• в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
• как происходит сбор персональных данных;
• как они обрабатываются и используются;
• кто (по должностям) в компании имеет к ним доступ;
• как персональные данные защищаются от несанкционированного доступа;
• права работника в целях обеспечения защиты своих персональных данных;
• ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Как работать с положением о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

Положение о защите персональных данных выглядит так, как показано далее.

Положение о защите персональных данных работников

Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к положению.

В первую очередь это сотрудники кадровой службы, так как они собирают и формируют данные о работнике, руководители структурных подразделений (например, начальники отделов). Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так.

Список уполномоченных лиц в получении персональных данных работников

Работодатель обязан с положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец.

Расписка об ознакомлении с положением о защите персональных данных работников

Образцы в формате Word можно скачать в приложениях под данной статьей

Положение о защите персональных данных работников

1. Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового кодекса РФ, Кодекса РФ об административных правонарушениях, Гражданского кодекса РФ, Уголовного кодекса РФ, а также Федерального закона "Об информации, информатизации и защите информации".
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. В состав персональных данных работника входят:
- анкетные и биографические данные;
- образование;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- характер взаимоотношений в семье;
- содержание трудового договора;
- состав декларируемых сведений о наличии материальных ценностей;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики.
2.3. Документы, указанные в п. 2.2. настоящего Положения, являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными федеральными законами.
3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:
- бухгалтерии;
- сотрудники службы управления персоналом;
- сотрудники компьютерных отделов.
3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).
4.1.1. Право доступа к персональным данным сотрудника имеют:
- генеральный директор организации;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
- при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
- сам работник, носитель данных;
- другие сотрудники организации при выполнении ими своих служебных обязанностей.
4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.
4.2. Внешний доступ.
4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.2.4. Другие организации.
Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.
Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральными законами.
5.5. "Внутренняя защита".
5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.
5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, - руководителю структурного подразделения (например, при подготовке материалов для аттестации работника).
5.5.3. Защита персональных данных сотрудника на электронных носителях.
Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий.
5.6. "Внешняя защита".
5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
5.8. По возможности персональные данные обезличиваются.
5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
- требовать исключения или исправления неверных или неполных персональных данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
6.4. Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
- своевременно сообщать работодателю об изменении своих персональных данных.
6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными

7.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7.5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.