Ukkaskadgel.ru

Документооборот онлайн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как составить положение о защите персональных данных

Как составить положение о защите персональных данных

scire leges non hoc est verba earum tenere, sed vim ac potestatem .

(знание законов — не в том, чтобы помнить их слова, а в том, чтобы понимать их смысл. лат.)

Корпоративные юристы СМЫСЛОВЫ

и Межрегиональный учебный и консультационно-правовой центр финансового мониторинга (МУКПЦФМ):

юридические услуги в области корпоративного права, организации внутреннего контроля по финансовому мониторингу, правила внутреннего контроля, целевой инструктаж и обучение по ПОД/ФТ по всей России

тел.: +7 (903) 686 3187; +7 (964) 705-83-10

Ко мпания основана в 1996 году

Разработка Положения о защите персональных данных

Организации, обрабатывающие персональные данные, обязаны разработать и утвердить положение о защите персональных данных.

О положении о защите персональных данных.

Положение о защите персональных данных определяет порядок, способы и правила получения, учета, обработки, накопления и хранения сведений и документов, содержащих сведения, отнесенных к персональным данным их субъектов, находящихся в трудовых, хозяйственных и гражданско-правовых отношениях с организацией.

Также, среди прочего, указанное положение устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

Центральное место в нормативной базе, регулирующей обработку персональных данных, занимает Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». Этим законом определены понятия, свойственные специфике защиты и обработки персональных данных. Так, Законом введено понятие оператора, каковым является практически каждая организация и описаны требования к мерам, направленным на обеспечение выполнения каждым из них обязанностей, предусмотренных этим законом. Установлено, что состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом каждый оператор разрабатывает самостоятельно.

Целью разработки этого положения является защита персональных данных их субъектов от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

В большинства случаев положение является многостраничным документом, подробно раскрывающим порядок обработки персональных данных сотрудников организации, ее клиентов и иных лиц, содержащим формы различной первичной документации, используемой при обработке персональных данных.

С 2012 г. мы оказываем услуги по разработке Положения о защите персональных данных.

Разрабатываемое нами положение во многих случаях не является самостоятельным документом, а входит в целый пакет документов по обработке персональных данных, в который среди прочего включаются в том числе:

— Положение о недопущении оператором вреда при обработке персональных данных;

— Положение о порядке хранения информации персонального характера на бумажных носителях;

— Форма уведомления об уничтожении персональных данных;

— Форма уведомления об обработке (о намерении осуществлять обработку) персональных данных;

— Форма согласия об обработке персональных данных;

— иные многочисленные документы, необходимые в работе с персональными данными.

Положение не является типовым документом, оно разрабатывается под каждую конкретную организацию с учетом специфики осуществляемой ею деятельности, составом клиентов и т.п.

Ориентировочная стоимость разработки стандартного положения об обработке персональных данных, включающего основные формы первичной документации составляет 85 00 — 1 25 00 рублей для представителей малого бизнеса (стоимость варьируется из-за многочисленных факторов, которые надо учитывать при разработке положения).

Стоимость разработки положение об обработке персональных данных для организаций, требующих глубокой адаптации под осуществляемые бизнес-процессы, а также не относящихся к малому бизнесу, является договорной.

Как заказать услугу.

По вопросам разработки положения о защите персональных данных пишите нам на адрес:

+7 (964) 768 9380 (многоканальный)

Мы рассмотрим все Ваши вопросы, дадим для их решения лучших наших экспертов по вопросам обработки персональных данных и договоримся с Вами о цене.

Обращаем Ваше внимание, что коммерческие предложения на нашем сайте не являются публичной офертой.

Статьи на тему положения о защите персональных данных.

Ознакомьтесь с нашими многочисленными стать ями по теме финансового мониторинга и ПОД/ФТ тут:

Перечень наших практических статей и публикаций по вопросам финансового мониторинга, ПОД/ФТ, «антиотмывочному» законодательству, 115-ФЗ и прочим связанным вопросам

Наши услуги в сфере финансового мониторинга и ПОД/ФТ:

— любые документы и правила внутреннего контроля (ПВК по ПОД/ФТ);

— обучение и инструктаж по финмониторингу;

— аудит, абонентское обслуживание по ПОД/ФТ;

— электронная подпись и специальное ПО по финмониторингу;

— помощь на проверках;

— и многое другое.

Подробнее ТУТ.

Подпишитесь на «Вестник финансового мониторинга» — первый в России бесплатный и регулярный выпуск новостей в сфере финансового мониторинга:

Мы в социальных сетях:

Вы можете связаться с нами по телефонам: 8 (903) 686 3187; 8 (964) 705 8310

Все права защищены © Смыслов П.А. 2006-2020

Использование материалов сайта разрешено только с письменного разрешения Смыслова П.А. или соответствующего правообладателя

Составляем положение о персональных данных работников — образец 2021

  • Персональные данные работника и меры по их охране
  • Нюансы составления положения о работе с персональными данными

Персональные данные работника и меры по их охране

Ранее определение термина «персональные данные» для трудовой сферы содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта. Сейчас данная норма исключена.

Читать еще:  Нужна ли ИП учетная политика

В настоящее время толкование понятия персональных данных содержится в ФЗ «О персональных данных» № 152-ФЗ: это вся информация, относящаяся к физлицу.

Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.

Примеры документов, включающих персональные данные:

  • карточка сотрудника (форма Т-2) содержит Ф.И.О. лица, сведения о семье, оконченных учебных заведениях;
  • в трудовой книжке указаны стаж, предшествующие места работы;
  • трудовой договор содержит название должности, размер вознаграждения и т.д.

Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.

В ст. 88 ТК РФ содержится общий запрет на распространение данных с указанием ряда исключений, например, если такие действия требуются во избежание угрозы жизни субъекта. Об уголовной ответственности за разглашение сведений, читайте в статье Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?

Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского облсуда № 11-1913/2016).

Хотите знать больше об ответственности за нарушения в сфере персональных данных? Система Консультант Плюс предлагает экспертную статью, дающую полную картину.

Нюансы составления положения о работе с персональными данными

В ст. 87 Трудового кодекса и ст. 18.1 закона зафиксирована обязанность работодателя по формулировке и закреплению во внутренних актах порядка обработки, хранения личных данных персонала, перечня шагов по их защите. Указанным документом чаще всего является положение об обработке персональных данных работников.

Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:

  • общие нормы, содержащие предназначение акта, ссылки на нормативную основу его разработки;
  • состав личных сведений, список их носителей;
  • права работника по контролю за обращением с его личной информацией;
  • меры, которые требуется предпринимать организации для защиты сведений, порядок обработки, использования;
  • последовательность действий при передаче персональной информации;
  • список сотрудников, обладающих доступом;
  • санкции за неисполнение правил обращения с рассматриваемыми сведениями.

Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.

Всем работникам указанный акт предоставляется для ознакомления, для чего может быть заведен специальный журнал с перечнем работающих в компании субъектов, где каждый ставит подпись после прочтения правил.

Образец положения о работе с персональными данными можно скачать по ссылке: Положение о работе с персональными данными (образец-2020).

Работодатель, выступая субъектом, получающим и обрабатывающим личную информацию персонала, обязан принять необходимые меры для ее защиты при обработке, хранении, использовании. Соответствующие меры регламентируются положением о персональных данных, предоставляемым для ознакомления всем работникам.

Положение о защите персональных данных

Определение персональных данных работника дано в ч. 1 ст. 85 Трудового кодекса Российской Федерации: «Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника». Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» относит персональные данные к конфиденциальной информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы с персональными данными ее работников.

Таким локальным актом, как правило, является Положение о защите персональных данных работников. Этот документ должен регламентировать в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

Примерная структура этого документа включает следующие разделы:

  1. общие положения;
  2. состав персональных данных работника;
  3. порядок создания, обработки, хранения персональных данных;
  4. доступ к персональным данным;
  5. защита персональных данных.

Законодательными и нормативными правовыми актами не установлено требований к оформлению и содержанию этого документа. Поэтому при его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения. Положение утверждает руководитель организации, и с этого момента оно вступает в силу.

В разделе «Общие положения» формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяется порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливается конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел, «Состав персональных данных работника», включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

  1. фамилия, имя, отчество;
  2. дата рождения;
  3. место рождения;
  4. гражданство;
  5. знание иностранного языка;
  6. образование;
  7. специальность, профессия;
  8. стаж работы;
  9. состояние в браке;
  10. состав семьи;
  11. паспортные данные;
  12. адрес места жительства (по паспорту и фактический), дата;
  13. регистрации по указанному месту жительства, телефон;
  14. сведения о воинском учете;
  15. сведения о заработной плате.
Читать еще:  KPI для учителя Как педагогам зарабатывать больше?

В зависимости от направления деятельности организации этот список можно дополнить сведениями об изобретениях и патентах, о наличии государственных наград, допуске к государственной тайне, состоянии здоровья и др. Разрабатывая положение, данный раздел следует составлять после анализа всех учетных форм, применяемых в организации.

Очень часто в раздел включают и перечень документов, которые содержат персональные данные и, следовательно, также относятся к конфиденциальной информации. Это трудовой договор (дополнительные соглашения), приказы по личному составу, анкеты, личная карточка работника, личный листок по учету кадров. Полный список таких документов можно составить, изучая номенклатуру дел кадровой службы.

В разделе «Создание, обработка, хранение персональных данных», как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе, «Доступ к персональным данным», устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговаривается порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: «Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия».

Здесь же следует установить и порядок предоставления персональных данных родственникам и членам семей работника. По закону это делается только с письменного согласия работника. Однако раздел «Доступ к персональным данным» можно конкретизировать и указать условия, при которых, например, сведения о заработной плате работника будут сообщаться жене работника, или матери его детей, или лицам, находящимся на его иждивении. Также следует регламентировать состав необходимых документов, подтверждающих право на подобные запросы.

В заключительном разделе положения, «Защита персональных данных», перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это может быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т.д. Следует описать меры защиты данных, хранящихся в бумажной форме, – запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т.п., а также меры защиты сведений на электронных носителях.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» работа с такими сведениями считается неавтоматизированной при непосредственном участии человека. Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку. Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации – коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Проблемным остается вопрос о получении от работника согласия на обработку его персональных данных. Статья 24 Конституции РФ устанавливает, что сбор, хранение и распространение информации о частной жизни лица без его согласия не допускаются. Исходя из этого, многие организации при оформлении приема на работу требуют от работника заполнении письменного согласия на обработку его персональных данных.

Содержание такого согласия установлено статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Этот документ должен включать:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие, а также порядок его отзыва.
Читать еще:  Соглашение о заработной плате. образец и бланк 2021 года

В то же время следует обратить внимание на ст. 6 того же закона, которая устанавливает, что согласия субъекта персональных данных не требуется в случаях, когда обработка информации осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку основу трудовых отношений составляет договор между работником и работодателем, следуя этому положению закона, согласие работника в письменном виде можно и не получать.

* Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и защите информации», Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных», Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Разработка положения о персональных данных работников

Если я нарушаю закон

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

С 23 февраля 2020 года вступило в силу Постановление Правительства от 13.02.2019 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

За нарушение Закона предусмотрена дисциплинарная, материальная, административная и уголовная ответственность. Контролирующие органы могут привлечь к административной ответственности по ст. 13.11 и 13.14 КоАП, штрафы составляют:

  • для должностных лиц: от 500 до 1000 рублей;
  • для организации: от 5000 до 10 000 рублей;
  • для должностных лиц, в связи с исполнением служебных или профессиональных обязанностей: от 4000 до 5000 рублей.

Наиболее распространенными нарушениями, по данным инспекторов, являются обработка персоданных без согласия их владельца либо с нарушениями, невыполнение требования об уничтожении личной информации, нарушение условий хранения таких сведений.

Что такое персональные данные

Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.

Примерами документов, включающих личные данные, могут служить:

  • карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
  • трудовая книжка со стажем с предшествующих мест работы;
  • дипломы, сертификаты об образовании;
  • трудовой договор.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

Храните данные правильно

Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.

Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.

Образец положения о персональных данных работников (2020) и его разработка

На первом этапе разработки нужно определить, какие данные используются в компании, как их получают, хранят, обрабатывают.

Для оформления организационных документов используют общие правила: в заголовке указывают наименование организации, дату и номер документа, в правом верхнем углу располагают гриф утверждения.

В положение включают следующую информацию:

  • цели и задачи предприятия при работе с конфиденциальными данными;
  • перечни таких данных;
  • описание операций с данными, которые часто используются на предприятии;
  • способы доступа к данным;
  • перечни и обязанности персонала фирмы при использовании информации;
  • права сотрудников фирмы на доступ к информации;
  • ответственность работников предприятия за разглашение информации.

Положение утверждается приказом руководителя компании. Образец положения об обработке персональных данных работников должен быть доступен всем сотрудникам для ознакомления. Им следует поставить свою подпись в листе или журнале ознакомления, который, как правило, заводит кадровая служба работодателя. Журнал представляет собой перечень работников компании, где каждый ставит подпись после прочтения этого локального акта.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector