К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.

Что относится к персональным данным работника

Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.

Самые лучшие работники - предприимчивые сотрудники. Их переполняют новые идеи, они готовы много работать и брать на себя ответственность. Но они же и самые опасные - рано или поздно решают работать на себя. В лучшем случае просто уйдут и создадут свое дело, в худшем - прихватят вашу информацию, пул клиентов и станут конкурентами.

Если Вы уже являетесь подписчиком журнала «Генеральный Директор», читайте статью

Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:

• фамилия, имя и, если есть, отчество;
• год, месяц, дата и место рождения;
• адрес регистрации;
• семейное, социальное и имущественное положение;
• образование и специальность;
• доходы и иные сведения.

Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.

Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.

Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.

Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников.

Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и . В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.

Какие персональные данные работника нужны кадровой службе

Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.

При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.

1. Документы, предъявляемые при заключении трудового договора:

• паспорт или любой другой документ, который подтверждает личность сотрудника;
• трудовая книжка;
• СНИЛС;
• военный билет;
• диплом об образовании, свидетельства о прохождении курсов повышения квалификации, документы, подтверждающие наличие специальных знаний;
• другие документы, наличие которых предусматривается на законодательном уровне.

Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.

2. Документы, создаваемые работодателем

Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».

К подзаконным актам относят распоряжения о:

• приеме сотрудника на определенную должность в компанию;
• переводе работника на другую должность, в другое подразделение компании;
• расторжении трудового договора с сотрудником;
• премировании работника.

Также к ним относятся:

• личная карточка сотрудника;
• документация по выплатам сотрудникам заработной платы.

Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.

Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.

Как должна проходить обработка персональных данных работника

Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.

При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока. Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя. В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.

Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.

1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно, для выполнения действующего на сегодняшний день законодательства, помощи сотрудникам в устройстве на работу, обеспечения личной безопасности сотрудников, контроля уровня качества осуществляемого рабочего процесса, гарантии сохранности имущества. Таким образом, в каких-либо иных целях использование персональных данных работника запрещено. Независимо от целей проведения такой процедуры субъект, личные данные которого подвергаются анализу и проверяются, должен дать своё согласие на обработку.
2. Сущность такой обработки регулируется нормативно-правовыми актами, при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. Следовательно, информация, которая не дает никакой характеристики человеку как специалисту, не может быть запрошена у него или разглашена третьей стороне и т.д.
3. Значимое условие, которое на практике часто игнорируется, зафиксировано в пункте 3 статьи 86 Трудового кодекса Российской Федерации: все персональные данные работника должны быть получены от него самого. В ситуации, когда указанную информацию можно получить только у третьего лица, сотрудника необходимо поставить об этом в известность заблаговременно. Но одного предупреждения будет недостаточно, требуется также взять с него согласие в письменной форме. При разговоре с работником нужно рассказать ему о целях, предполагаемых источниках и методах получения его персональных данных, о характере этой информации и о последствиях. Если при работе с персональными данными согласие сотрудника в письменной форме отсутствует, такая обработка становится незаконной.
4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Следует помнить о том, что если запрет на использование и сбор персональных данных работника о его политических и религиозных мнениях является безусловным, то Трудовой кодекс Российской Федерации допускает получение информации о личной жизни, но только в тех ситуациях, которые имеют связь с рабочим процессом, и исключительно с согласия самого работника, данного в письменной форме. В таком случае работодатель сможет оперировать вышеуказанными данными сотрудника, которые могут быть полезны при разработке систем мотивации, элементов корпоративной культуры и в прочих случаях.
5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности. Как бы ни хотелось многим работодателям собирать и использовать такую информацию, законом это запрещено.
6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, собранных исключительно путем их автоматизированной обработки или электронного сбора. Указанный запрет имеет связь с тем, что собранные персональные данные работника могут быть применены не в том контексте. В каждом случае следует руководствоваться сведениями, которые были получены при помощи использования комплексного способа сбора информации. В любом случае, какой бы продвинутой ни была система, она не может учесть человеческий фактор. Поэтому нужно анализировать все предварительные данные, полученные автоматизированным способом.
7. Защита персональных данных от их неправомерного использования или утраты обеспечивается работодателем за счет его средств и в порядке, зафиксированном в Трудовом кодексе Российской Федерации и в прочих федеральных законах.
8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных, а также о своих правах и обязанностях в этой сфере. Это могут быть положение, инструкция и др. Если при трудоустройстве вновь принятого на работу сотрудника не ознакомили с этими документами, это означает, что работодатель нарушает действующие нормативно-правовые акты.
9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет прописано условие о том, что сотрудник отказывается от данного права, то в этой части документ не может считаться действительным. Он не имеет юридической силы, так как противоречит законодательству РФ.
10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных документов о персональных данных работников. В результате такой совместной работы повышается качество внутренних актов.

Хранение и использование персональных данных работника

В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников. Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников. При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.

Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.

Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.

Правила формирования и хранения личного дела разрабатываются работодателем. К этому процессу необходимо подходить серьезно и ответственно. Временной период хранения документации, которая содержит персональные данные сотрудника, устанавливается в соответствии с Перечнем типовых управленческих документов, формирующихся в ходе трудовой деятельности компании (утв. Федеральной архивной службой России 06.10.2000 г., в ред. Решения от 27.11.2003 г.).

Например, личные дела директоров компании, руководителей различных структурных подразделений, сотрудников, которые обладают государственными и прочими званиями, наградами, ученой степенью, сохраняются постоянно. Личные дела иных сотрудников хранятся в течение 75 лет.

Основным документом о трудовой деятельности и трудовом стаже сотрудника, который содержит и персональные данные работника, является трудовая книжка. Порядок ее ведения строго регулируется и контролируется. Грамотность, четкость и ответственность в этом вопросе важны как для работодателя, так и для сотрудников компании.

Условия хранения трудовых книжек определяются Правилами ведения и хранения трудовых книжек, выпуска бланков трудовой книжки и обеспечения ими работодателей, утвержденными Постановлением Правительства Российской Федерации от 16.04.2003 г. № 225. Сохранность документации является важнейшим фактором, когда речь идет о трудовом законодательстве РФ. В соответствии с пунктом 45 Правил ответственность за организацию работы по ведению, хранению, учету и выдаче трудовых книжек и вкладышей к ним возлагается на директора компании. Для этого распоряжением руководителя организации создается специальная должность.

Например, лицом, ответственным за хранение персональных данных и трудовых книжек, может быть сотрудник, управляющий отделом кадров. Действуют такие работники только в границах их должностных обязанностей. В реальности организовывать это хранение сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Постановлением Федеральной службы государственной статистики от 05.01.2004 г. № 1 утверждены единые формы первичной учетной документации по учету труда и его оплаты. Согласно нему работодатель гарантирует сохранность данной документации.

Согласно распоряжению Правительства Российской Федерации от 21.03.1994 г. № 358-р подразумевается, что для сохранения документации по личному составу увольняемых сотрудников в итоге изменения, реорганизации и ликвидации организации, а также социальной защищенности работников, исполняющих трудовые обязанности по договору найма, владельцам вновь появляющихся коммерческих / некоммерческих компаний рекомендовано внести в свою учредительную документацию порядок учета и сохранности персональных данных личного состава, а также своевременного отправления их на государственное хранение в той ситуации, если компания была реорганизована или ликвидирована.

Так как обязанность по сохранению конфиденциальности персональных данных работников Трудовой кодекс Российской Федерации возлагает на директора компании, то для реализации такой защиты нужно осуществить ряд действий по формированию необходимых технических условий (например, особый вход в те помещения, где находятся персональные данные работников, оборудование пространства для хранения этих сведений, меры, нацеленные на сохранение конфиденциальности персональных данных работников от незапланированного уничтожения, потери, корректировки или их распространения третьими лицами).

В каком случае возможна передача персональных данных работников

Одним из видов использования персональных данных работника является пересылка их как внутри компании, так и за ее границы. Требования к передаче персональных данных работника зафиксированы в статье 88 Трудового кодекса Российской Федерации.

При передаче персональных данных работника запрещается сообщать их без его согласия:

• для коммерческого применения;
• любому другому третьему лицу.

Персональные данные сотрудников собираются для внутреннего сведения и реализации нормальной трудовой деятельности компании, без согласия сотрудника не допускается их обнародование третьей стороне как в письменной форме, так и в устной.

Исключением из данного правила могут быть ситуации, когда это требуется для предупреждения угрозы жизни и здоровья сотрудника, а также в других ситуациях, которые зафиксированы в Трудовом кодексе. Например, согласно статье 228 Трудового кодекса Российской Федерации при несчастном случае на производстве директор компании в обязательном порядке должен сообщить о случившемся в ряд государственных органов.

Необходимо предупредить лиц, получающих персональные данные работника, о том, что они могут быть использованы только в целях, для которых были сообщены.

Руководитель имеет право требовать подтверждение того, что это условие соблюдается. Сотрудники, которым предоставлен свободный доступ к базе персональных данных иных работников, должны строго соблюдать конфиденциальность этих сведений. Это условие не имеет отношения к ситуациям передачи персональных данных в порядке, зафиксированном в ФЗ. Например, в соответствии со статьей 6 ФЗ от 12.08.1995 г. № 144 «Об оперативно-розыскной деятельности» при проведении данного вида мероприятия осуществляются следующие процедуры: опрос, запросы по данным участников, анализирование документации и личных вещей, снятие данных с технических каналов и т.д.

Передача персональных данных в пределах одной организации или у одного индивидуального предпринимателя должна осуществляться в соответствии с локальным нормативным актом, с которым сотрудники обязаны быть ознакомлены под роспись.

Нововведением Трудового кодекса Российской Федерации является то, что на сегодняшний день руководитель компании в обязательном порядке должен осуществлять передачу персональных данных работников в соответствии с локальной документацией и под роспись сотрудников.

Доступ к персональным данным работника разрешается только специально уполномоченным лицам. В данной ситуации специально уполномоченные сотрудники имеют право получать только те персональные данные, которые требуются им для исполнения конкретных должностных обязанностей. Таким образом, документация или сведения, которые содержат персональные данные, могут быть частично открыты для других работников (например, для управляющих отделов компании только в границах их должностных обязанностей). В реальности осуществить это сложно, так как большой объем персональных данных скапливается в одном месте и сохраняется централизованно. Навести порядок в процессе передачи персональных данных поможет локальная нормативная документация, в которой можно зафиксировать то, кто конкретно из управляющих и иных сотрудников и в какой степени, опираясь на их компетенции, обладает доступом к персональным данным работников.

Запрещается запрашивать информацию о состоянии здоровья работника, помимо тех данных, которые имеют отношение к процессу исполнения сотрудником его должностных обязанностей.

Запрос таких сведений имеет место быть в той ситуации, когда существует необходимость принять решение о переводе беременной сотрудницы на другую должность, которая исключит влияние неблагоприятных факторов согласно статье 254 Трудового кодекса Российской Федерации.

Передача персональных данных представителям работников допускается лишь в объеме, необходимом для выполнения ими указанных функций.

Таким образом, при расторжении трудового договора по решению руководителя компании на базе пунктов 2,3,5 части 1 статьи 81 Трудового кодекса Российской Федерации с сотрудником — членом профсоюзной организации руководитель компании отправляет профсоюзу копии тех документов, которые служат основанием для увольнения работника с занимаемой должности, и проект приказа согласно статье 373 Трудового кодекса Российской Федерации.

Защита персональных данных работника как обеспечение безопасности

Особенно остро вопрос защиты персональных данных работника встал в 2016 году в связи с объективными процессами в государственной системе. Сохранение конфиденциальности персональных данных сотрудника можно рассматривать в ряде аспектов.

Во-первых, это гарантии, закрепленные в трудовом праве, которое является суммой всех существующих правил, регулирующих отношения в вопросе персональных данных работника.

Во-вторых, это система мероприятий организационно-правового характера, ориентированных на осуществление положений законодательства и отображающих политику руководителя компании в данной отрасли.

В-третьих, это обеспечение субъективного права работника на сохранение конфиденциальности своих персональных данных.

Отношения информационного типа складываются как между сотрудником и предпринимателем, так и между каждым из них и третьей стороной. Отношения, образовавшиеся между руководителем компании и работником, являются главными информационными связями. Поэтому их урегулированию в трудовом законодательстве отдается преимущество. Сотрудник не только в обязательном порядке должен предоставить свои персональные данные, но и обладает правом узнать достоверные сведения об условиях труда и о требованиях охраны труда на рабочем месте согласно статье 21 Трудового кодекса Российской Федерации.

В статье 210 ТК РФ зафиксировано определение «единая информационная система охраны труда». Получение от руководителя компании данных по вопросам, напрямую затрагивающим интересы сотрудников, является одной из ключевых форм участия работников в руководстве компании согласно статье 53 Трудового кодекса РФ. Работодатель должен обнародовать полную и правдивую информацию для сотрудников, необходимую для формирования коллективного договора, соглашения и контроля над его реализацией, согласно статье 22 Трудового кодекса Российской Федерации.

Специальные правила российского кодифицированного закона о труде регулируют отношения по поводу сохранения конфиденциальности персональных данных работников.

Персональные данные человека согласно действующей нормативной документации относятся к данным конфиденциального характера. В связи с этим положения Трудового кодекса Российской Федерации об охраняемой на уровне закона тайне также имеют отношение к персональным данным работника.

Деятельность руководителя компании в отношении персональных данных сотрудников регулируется императивными нормами, что объясняется публичной составляющей сферы трудового права в общем и института сохранности персональных данных сотрудника в частности.

Право на сохранение конфиденциальности персональных данных имеет абсолютный характер. Им обладает каждый сотрудник компании независимо от того, какой вклад он внес в развитие организации. В соответствии с пунктом 9 статьи 86 Трудового кодекса РФ работник не обязан отказываться от своего права на неразглашение его персональных данных.

Свое право на сохранение конфиденциальности персональных данных сотрудник может осуществлять:

• при помощи свободного доступа к своим персональным данным, в том числе и право на получение копии всех записей, которые содержат личные данные;
• при помощи назначения представителей для сохранения конфиденциальности своих персональных данных;
• при помощи получения полных сведений о персональных данных и их использования;
• при помощи предъявления руководителю компании условий об удалении или корректировке ложных либо неполных персональных данных;
• при помощи обжалования в судебном порядке всех нарушающих закон действий или бездействия при использовании и защите персональных данных сотрудников в соответствии со статьей 89 Трудового кодекса Российской Федерации.

Как разработать Положение о персональных данных работников в организации

Исходя из статей 8 и 22 Трудового кодекса России предприниматель имеет право создавать в границах своей компетенции местную нормативную документацию, которая будет предусматривать процедуру сохранения и дальнейшего использования персональных данных работника.

Локальная документация компании о персональных данных сотрудника может быть сформирована в виде положения и должностной инструкции. Обычно ее созданием занимается отдел кадров. Конкретных требований к структуре и внутреннему содержанию данной документации действующие законы не содержат, но по всеобщей сути она обязана поддерживать порядок использования персональных данных сотрудников, а также определять права, обязанности сотрудника и директора компании, ответственность за несоблюдение принятых норм.

Примерная структура положения о персональных данных

Общие положения:

• цели и задачи компании в сфере сохранения конфиденциальности персональных данных сотрудников;
• определение и содержание персональных данных работников;
• документация, которая содержит персональные данные сотрудников;
• порядок получения персональных данных работника.

Порядок хранения, использования и передачи персональных данных:

• действия, осуществляемые для защиты от неправомерного получения доступа к персональным данным работников;
• место хранения, должностное лицо, назначенное ответственным за конфиденциальность персональных данных сотрудников;
• список должностных лиц, которые имеют свободный доступ к базе персональных данных работников (директор компании, руководитель кадровой службы, специалист отдела кадров и т.д.);
• общие условия для передачи персональных данных сотрудников;
• процедура передачи персональных данных сотрудников в рамках компании (в какой отдел могут быть отправлены данные сведения, порядок их хранения в этих отделах компании, список лиц, обладающих правом свободного доступа к прописанной информации в данных отделах).

Обязанности работодателя по хранению и защите персональных данных работников:

• предоставление защиты персональных данных работников;
• ознакомление сотрудников с локальной документацией, регламентирующей использование персональных данных;
• обеспечение доступа к этим данным и т.д.

Права работников на защиту персональных данных:

• на свободный доступ к личным персональным данным;
• на получение копий любого личного документа;
• на предоставление своих представителей для защиты личных персональных данных и т.д.

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Список должностных лиц, которые обладают свободным доступом к персональным данным работников компании, необходимо прописать в качестве дополнения к положению о персональных данных.

Разработка локального нормативного акта о персональных данных работников является обязанностью работодателя, игнорирование которой может привести к наложению административной ответственности по статье 5.27 КоАП Российской Федерации в виде штрафных санкций:

• на должностных лиц — в объеме от 5 до 50 минимальных размеров месячной оплаты труда;
• на лиц, которые занимаются предпринимательской деятельностью без юридического образования, — в объеме от 5 до 50 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев;
• на юридических лиц — в объеме от 300 до 500 минимальных размеров месячной оплаты труда или временной остановки рабочего процесса сроком до 3 месяцев.

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур , Б-152 , FreshDoc . А можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных. Пример .

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый , второй .

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах. Пример.
Рекомендации Роскомнадзора по составлению документа , определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример .

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано . Пример Приказа .

9. Проект системы защиты информационной системы персональных данных. Пример .

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации. Пример .

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример .

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример .

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример .

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти и .

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример .

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании .

18. Положение о разграничении прав доступа к обрабатываемым персональным данным. Пример .

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных. Пример .

21. Инструкция по организации парольной защиты.

22. Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё .

24. Журнал учета средств защиты информации(перечень технических средств). Пример .

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример .

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример .

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. .

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример .

32. Форма ответа на запрос субъекта персональных данных. Пример .

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на [email protected].

Инструкция о порядке обеспечения конфиденциальности

при обработке информации, содержащей персональные данные

I. Общие положения 1.1. Настоящая Инструкция устанавливает применяемые в Государственном образовательном учреждении высшего профессионального образования «Тольяттинский государственный университет» способы обеспечения безопасности при обработке, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, защиту, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и обучающихся ГОУ ВПО ТГУ (далее - Университет).1.2. Настоящая Инструкция разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации, а также «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»».1.3. В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Университету в связи с трудовыми отношениями и организацией образовательного процесса.1.4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Университета, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.1.5. Обеспечение конфиденциальности персональных данных не требуется в случае:обезличивания персональных данных;для общедоступных персональных данных.1.6. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждается приказом ректора Университета.Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.1.7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Университет предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:- знакомит работника под роспись с требованиями «Положения об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, с должностной инструкцией и иными локальными нормативными актами Университета в сфере обеспечения конфиденциальности и безопасности персональных данных;- предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);- обучает правилам эксплуатации средств защиты информации;- проводит иные необходимые мероприятия.1.8. Должностным лицам Университета, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.1.9. Должностные лица Университета, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.1.10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.1.11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Положением об обработке персональных данных Государственного образовательного учреждения высшего профессионального образования «Тольяттинский государственный университет»», с настоящей Инструкцией, должностными инструкциями и иными локальными нормативными актами Университета.Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Университета на основании письменного или устного поручения руководителя структурного подразделения.1.12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящей форме.1.13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.1.14. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими в Университете локальными нормативными актами.Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.1.15. Должностные лица Университета, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) главному специалисту по информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.1.16. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.1.17. Отсутствие контроля со стороны Университета за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.II. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации 2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.2.2. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:- определяет места хранения персональных данных (материальных носителей);- осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;- информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;- организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.2.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.2.4. При несовместимости целей обработки персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.2.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.III. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации 3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в Корпоративной компьютерной сети Университета (далее - ККС).Безопасность персональных данных при их обработке в ККС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в ККС информационные технологии.Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ККС, в установленном порядке проходят процедуру оценки соответствия.3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа ректора Университета при наличии паролей доступа.Работа с персональными данными, содержащимися в ККС, осуществляется в соответствии с «Регламентом действий пользователя », с которыми работник, в должностные обязанности которого входит обработка персональных данных, знакомится под роспись.3.3. Работа с персональными данными в ККС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, соответствующими требованиям «Регламента парольной защиты ».3.5. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.3.6. При обработке персональных данных в ККС пользователями должно быть обеспечено:а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.3.6. При обработке персональных данных в ККС разработчиками и администраторами информационных систем должны обеспечиваться:а) обучение лиц, использующих средства защиты информации, применяемые в ККС, правилам работы с ними;б) учет лиц, допущенных к работе с персональными данными в ККС, прав и паролей доступа;в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;д) описание системы защиты персональных данных.3.7. Специфические требования по защите персональных данных в отдельных автоматизированных системах Университета определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.IV. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации 4.1. Все находящиеся на хранении и в обращении в Университете съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.4.2. Учет и выдачу съемных носителей персональных данных осуществляют работники Отдела технической поддержки Центра новых информационных технологий (ЦНИТ) .Работники Университета получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок.При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в Отделе технической поддержки ЦНИТ.По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Университета.4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено главному специалисту по информационной безопасности.На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.V. Заключительные положения 5.1. С положениями настоящей Инструкции должны быть ознакомлены под роспись в "Журнале учета допуска к обработке персональных данных " все работники структурных подразделений Университета и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников и обучающихся Университета. Ответственные за инструктаж - Администраторы информационных систем, в которых обрабатываются персональные данные.

Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.

Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.

Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.

Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.

Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.

В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.

Приведём несколько примеров соответствующих документов.

Образец приказа о назначении ответственного за организацию обработки персональных данных:

Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:

Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка

Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)

УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»

ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»

1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:

Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.

2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:

Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:

Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:

Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).

8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.

С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Образец обязательства о неразглашении персональных данных:

Обязательство о неразглашении персональных данных работников ООО «Работодатель»

Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись

Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:

Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)

Согласие на передачу персональных данных третьей стороне

Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись

ВАЖНО:

Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).

Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.

Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.

После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.

Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"

"Кадровый вопрос", 2012, N 7

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В КАДРОВОЙ СЛУЖБЕ

В соответствии с требованиями гл. 14 Трудового кодекса и Федерального закона "О персональных данных" (от 27 июля 2006 г. N 152-ФЗ) процесс защиты персональных данных в кадровой службе организации должен быть строго регламентирован. Следует учитывать, что именно регламентация организационных форм и технологии документирования, обработки персональных данных и их неукоснительное соблюдение всеми руководителями и сотрудниками лежат в основе обеспечения надежной защиты персональных данных и, следовательно, обеспечения реальных прав и свобод граждан в трудовой сфере.

При работе с документами, делами и базами данных кадровой службы должны соблюдаться следующие основополагающие принципы защиты персональных данных:

Личной ответственности руководства организации и работников кадровой службы за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

Разбиения (дробления) знания персональных данных между разными руководителями организации и работниками кадровой службы;

Наличия четкой разрешительной (разграничительной) системы доступа руководителей всех уровней и работников к документам, содержащим персональные данные;

Проведения регулярных проверок наличия традиционных и электронных документов, дел и баз в кадровой службе и кадровых документов в подразделениях организации.

Порядок работы с кадровой документацией должен в полном объеме соответствовать требованиям обращения с конфиденциальными документами и персональными данными.

Главным моментом в защите персональных данных является четкая регламентация функций работников кадровой службы и в соответствии с этим регламентация принадлежности работникам функциональных комплексов документов, дел, карточек, журналов персонального учета и баз данных. Любые посторонние лица не должны знать рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в кадровой службе, особенно это касается бланков и документов строгой отчетности.

Под посторонним лицом понимаются не только злоумышленники или их сообщники, но и сотрудники организации, функциональные обязанности которых не связаны с работой кадровой службы. Однако каждый работник должен быть письменно информирован о предполагаемых фактах использования его персональных данных при документировании функций кадровой службы, ведении отчетной и отчетно-справочной работы службы. Работник имеет право не разрешить использовать свои персональные данные.

Для реализации положения о личной ответственности работников кадровой службы за доверенные им персональные данные и документы руководителем организации должен быть издан приказ о закреплении за каждым работником этой службы определенных массивов документов, необходимых им для информационного обеспечения функций, указанных в должностных инструкциях, утверждена схема доступа работников службы и руководящего состава организации, структурных подразделений к кадровым документам, установлены формы ответственности перечисленных должностных лиц и работников за сохранность и конфиденциальность персональных данных.

Не допускается, чтобы работник кадровой службы мог знакомиться с любыми хранимыми документами и материалами службы. Целесообразно, чтобы отдельные работники закреплялись за должностными группами персонала организации и выполняли весь объем функций от подбора персонала до хранения документации. В случае необходимости перераспределения обязанностей среди работников службы (например, при болезни одного из них, увольнении) должно быть издано соответствующее распоряжение руководителя службы, в котором регламентируются характер изменений, их срок и дополнения в систему доступа к документам, делам и базам данных.

При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности ее обработки и хранения.

Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала - руководителям, специалистам, рабочим и т. д. Регистрация этих приказов также должна быть передана в кадровую службу.

Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф "Строго конфиденциально". Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.

Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и имеет регламентированный доступ к делам других работников.

В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.

Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут: руководитель организации - со всеми личными делами, его заместители - с личными делами курируемых ими подразделений, руководители структурных подразделений - с личными делами сотрудников подразделения.

Выдача личных дел на рабочие места руководителей, как правило, не допускается. На рабочие места личные дела могут выдаваться только первому руководителю, его заместителю по кадрам и в исключительных случаях по письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения - работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.

Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел - с карточками формы N Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.

Работник организации имеет право знакомиться только со своим личным делом, трудовой книжкой, учетными карточками. Он имеет право потребовать внесения изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденные документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.

О. Иванов

Подписано в печать

Доверенности