Top.Mail.Ru
С 1 января 2010 года согласно федеральному закону №152-ФЗ «О персональных данных» в любую компанию (в том числе и к индивидуальному предпринимателю), попадающую под определение «оператор персональных данных» могут пожаловать гости из Роскомнадзора и проверить, как соблюдается данный закон. В качестве наказаний для нерадивых работодателей законами РФ предусмотрены различные виды формы воздействия — от штрафов до представлений о приостановлении лицензий на основной вид деятельности, от дисквалификации должностного лица до ареста ответственных лиц. Кто же из работодателей является «оператором персональных данных»? Какие виды информации, с которой работает организация, попадают под понятие «персональные данные»? Об этом и многом другом мы поговорим в статье.

Примеры документов из статьи:

- ЗАЯВЛЕНИЕ на обработку персональных данных

- Положение о персональных данных

- ПРИКАЗ о назначении ответственных за обработку персональных данных

- ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных

- ДОГОВОР Об обработке персональных данных
Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных»1, обеспечить безопасность этой информации. Чтобы не попасть впросак, когда к вам пожалует проверка из Роскомнадзора, следуйте советам автора статьи – и все будет в порядке.

Определяемся с понятиями

Российское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
  • Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
  • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

Справка

В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.

Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.

Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте;
  • военном билете (у военнообязанных);
  • свидетельстве о присвоении ИНН;
  • страховом пенсионном свидетельстве;
  • документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
  • в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений2. Так, собственник не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Кроме этого, работодатель должен соблюдать следующие требования:

  • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;
  • передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Необходимые документы

Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных3. Согласно ч. 1 ст. 6 Закона «О персональных данных» обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Исключения приведены в ч. 2 ст. 6 Закона «О персональных данных». Так, разрешение не требуется, если «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора». Казалось бы, ТК РФ, являясь федеральным законом, должен соответствовать данному исключению. Однако в Кодексе оговаривается некоторое множество целей обработки персональных данных и дается указание на то, что работодатель сам должен определить объем, содержание и цели обработки данных. Если этот объем превышает объем, приведенный в Трудовом кодексе, то работодателю целесообразно получить разрешение от работника на использование своих данных, то есть перед заключением трудового договора работник должен написать заявление о своем согласии на обработку персональных данных (см. Пример 1). В этом заявлении должны быть указаны следующие сведения:

  1. Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование и адрес работодателя, получающего согласие сотрудника;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие работника;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  6. срок, в течение которого действует согласие;
  7. порядок отзыва заявления.

Остановимся подробнее на целях обработки персональных данных. В заявлении работнику стоит перечислить все возможные варианты использования его персональных данных. Например, если фамилия работника будет указана в его электронном адресе и у работника будут визитные карточки, то на данные действия необходимо получить его согласие.

Отдельно необходимо определить с работником сроки использования персональных данных после его увольнения. Так как документы сотрудника хранятся в организации в течение 75 лет, цели и характер использования этих данных, а также разрешение на их использование необходимо получить у него заблаговременно.

При этом работник может отказаться написать подобное заявление. Это его право, но целесообразно зафиксировать где-то, что он предупрежден о последствиях отказа4. Конечно, это бывает крайне редко, возможны варианты частичного отказа от использования персональных данных. Для того чтобы работники не отказывались от написания подобных заявлений, необходимо перед такой процедурой ознакомить его под роспись с Положением о персональных данных, которое обязательно должно быть на каждом предприятии (см. Пример 2). В данном документе необходимо отразить перечень персональных данных, предоставляемых работниками, на каких носителях и в каких местах они будут храниться, а также указать перечень мер, необходимых для обеспечения безопасности условий хранения, порядок их принятия, и список должностей, ответственных за реализацию указанных мер.

Помимо положения о персональных данных работодатель должен издать два приказа:

  • о назначении ответственных за обработку персональных данных (см. Пример 3);
  • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор (см. Пример 5). В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

Требования к работе на различных носителях

В деятельности юридических лиц образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Остановимся на них подробнее.

Примеры бумажных носителей персональных данных:

  • трудовая книжка;
  • журналы учета трудовых книжек;
  • журнал учета командировок;
  • материалы по учету рабочего времени;
  • личная карточка Т-2;
  • журналы сверки по военнообязанным;
  • входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
  • приказы по личному составу.

Закон «О персональных данных» требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных (материальных носителей).

Электронные носители персональных данных – базы данных, содержащие персональные данные работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Постановление № 781 дает исчерпывающее определение технических средств. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Для обеспечения этой безопасности работодатель должен принять ряд организационных мер.

Во-первых, информационную систему необходимо классифицировать в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Решение о присвоении того или иного класса системы определяет специальная организация, имеющая лицензию на данные работы. В зависимости от присвоенного класса работодатель определяет мероприятия по защите используемых персональных данных.

Во-вторых, работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

В-третьих, обеспечить в информационной системе следующие возможности:

  • а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Подведение итогов

Итак, в организации для работы с персональными данными должны быть следующие документы:

  1. Положение о персональных данных.
  2. Приказ о назначении ответственных за работу с персональными данными.
  3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
  4. Заявления работников на обработку персональных данных.
  5. Договоры (допсоглашения) с работниками об обработке персональных данных.

Пример 1

Пример 2

Пример 3

Пример 4

Пример 5

Сноски 4

  1. Статья 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (принят ГД ФС РФ 08.07.2006 г.). Вернуться назад
  2. Статья 88 ТК РФ. Вернуться назад
  3. Статья 6 Закона «О персональных данных». Вернуться назад
  4. Часть 2 ст. 18 Закона «О персональных данных». Вернуться назад
Оценить статью
s
В избранное

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 23

Елена Ф.
29.03.2019, 10:15

Добрый день, подскажите а каков порядок действий при смене ответственного за обработку ПД ?

Елена
20.09.2018, 13:21

Лица на каких должностях могут быть назначены ответственными за хранение персональных данных?

Елена*
11.04.2018, 09:16

Вопрос по персональным данным . Есть холдинг состоящий из 8 компаний ООО. Во главе стоит Управляющая компания (УК ООО). Есть договоры внутренние по которым УК ООО осуществляет администрирование, бух учет, тех. Поддержка и др. Сейчас необходимо внести компании в реестр операторов, осуществляющих обработку ПДа в Роспотребнадзор. Можно ли поступить следующим образом, зарегистрировать как оператора только УК ООО, а далее во внутренний договор включить пунктик, что УК ООО ведет и хранит ПДа всего Холдинга (8 ООО). Не хотелось бы включать в реестр операторов все 8 ООО. Если можно, то «да» «нет» со ссылками на нормативные документы.

Анонимный гость
11.04.2018, 13:00 Елена*

Нет. Все ООО передают персданные УК ООО, а эта передача подпадает под обработку персданных и значит Роскомнадзор придется уведомить всем 8 ООО (как следует из вопроса договоры ООО с УК ООО не подпадают под исключения, установленные ч. 2 ст. 22 Закона о персданных).

o*j*.o*@
20.09.2016, 11:41

подскажите пжл для уничтожения персональных данных какого класса нужно купить уничтожитель для бумаг.

h*a*h*6@
25.04.2016, 14:35

Потенциальный работодатель требует информацию об авто: гос.номер, номер вод.удостоверения и т.д. Работа не водителем.Должен ли я ему ее предоставить только потому, что у них такие правила приема?

Анонимный гость
19.08.2016, 12:07 h*a*h*6@

нет

маргарита
05.08.2015, 04:43

в июне закончила учебу,и не могу никуда устроится на работу.везде дальше анкеты о проверке данных не проходило....даже не перезванивали хотя на собеседовании говорили что их все устраивает...нужно только проверить по СБ...и тишина....я не судима, на учет ах не стою.кредитов нет...когда то до учебы работала но ушла от туда...правда со скандалом...и то меня не устроили условия труда и заплата....с моей стороны косяков не было я работала как требовали вот только в замен не получала даже обещанного минимума ..из-за чего просто ушла...когда мне даже не подписывали заявления об уходе...может это как то влиять на то что меня не берут на работу??

Олег
28.01.2014, 14:36

Добрый день! А как правильно оформить документы по защите Пдн, если в организации нет отдела кадров, а данный вопрос передан на аутсорсинг (т.е. кадровое делопроизводство ведет другая организация по договору).

Анонимный гость
21.04.2014, 08:22 Олег

Оператор (ответственный за организацию обработки ПДн), должен подготовить документы в области защиты ПДн. Либо предоставить иной организации естественно за деньги, подготовку документов в области защиты ПДн, если у неё есть лицензия.

Александр
05.11.2013, 14:05

Можно подробнее про вот это: "Но ответственный за организацию обработки персональных данных в организации, согласно ФЗ "О персональных данных" должен быть один."?

Анонимный гость
23.01.2014, 09:24 Александр

Я начальник отдела кадров на предприятии и быть ответственным за организацию обработки персональных данных не хочу. Могу ли я отказаться?

Анонимный гость

Назначение лица, ответственного за организацию обработки персональных данных, является обязанностью юридического лица. Порядок такого назначение, в том числе содержащий указание на согласие сотрудника, не предусмотрен. На мой взгляд, необходимо смотреть на положения должностной инструкции конкретного работника.

Ольга
13.12.2012, 12:33

Большое Спасибо!

гость
15.08.2012, 15:31

Подскажите, пожалуйста, "Приказ о назначении ответственных за работу с персональными данными.
Приказ о назначении ответственных за обеспечение безопасности персональных данных." нужно издавать ежегодно?

Анонимный гость
10.10.2012, 11:14 гость

нет, раз в жизни. И до тех пор, пока человек работает в организации, переиздавать не надо. Но ответственный за организацию обработки персональных данных в организации, согласно ФЗ "О персональных данных" должен быть один. Никто не запрещает назначить дополнительно ответственных по подразделениям и т.п. Но в организации - один!

Наталья
21.06.2012, 10:39

Подскажите, пожалуйста, если по эл.почте получили запрос от физического лица подсказать место работы доктора. Можем ли мы дать эту информацию или она тоже относится к персональной?

Анонимный гость
10.10.2012, 11:17 Наталья

Если доктор не давал согласия на передачу своих персональных данных третьим лицам, то не можете давать такую информацию. Если, например, доктор дал согласие Вашей организации на то, чтобы сделать информацию о своем месте работы общедоступной - можете дать информацию

Ольга
19.06.2012, 11:32

Большое спасибо, все понятно. Что делать, если некоторые работники не хотят подписывать заявление на обработку ПД?

Анонимный гость
10.10.2012, 11:18 Ольга

предупредить о последствия отказа.

Анонимный гость
12.06.2012, 16:21

спасибо.

Анонимный гость
31.05.2012, 09:34

спасибо огромное!

Анонимный гость
23.05.2012, 12:25

спасибо

Рекомендовано для вас

Оформляем копии и выписки из документов

Рассказываем, в чем разница между подлинником документа, его дубликатом, копией (бумажной, электронной, заверенной), выпиской. Показываем на примерах разницу в оформлении и юридической силе перечисленных вариантов.

Как составить справку для работника

Рассказываем о справках, которые могут составляться в организации (как внутренние, так и внешние). Разбираем порядок оформления информационных справок и справок по личному составу. Показываем обязательные и факультативные реквизиты. Приводим образцы справок, в том числе о факте работы, среднем ежемесячном доходе работника, факте предоставления отпуска.

Проблемная трудовая книжка при трудоустройстве

Рассматриваем проблемные вопросы, связанные с трудовыми книжками при приеме на работу. Например, когда у кандидата оказываются на руках две и более трудовые книжки или совсем нет книжки, хотя она должна у него быть; если при приеме на работу сотруднику завели новую трудовую книжку в связи с утерей старой, а спустя месяц он нашел прежнюю. Даем образцы документов, которые понадобятся, чтобы выправить ситуацию: заявлений от работника с информацией, какую из своих нескольких трудовых книжек он просит работодателя вести, какой страховой стаж учитывать и где будет храниться другая трудовая книжка, об оформлении новой трудовой книжки взамен утерянной, о нахождении им трудовой книжки с просьбой принять ее к ведению и хранению, а также приказа о приеме работодателем найденной работником трудовой книжки, фрагмента книги (журнала) по учету движения трудовых книжек с записью о замене сведений о трудовой книжке, уничтожении ранее оформленной новой трудовой книжки.

Изменение, отмена, аннулирование кадровых приказов и соглашений

Рассказываем, что должно быть в приказе и как можно его изменить или отменить. Что должен включать корректирующий приказ. Поясняем, в чем разница между признанием приказа утратившим силу и его аннулированием. В каких случаях формулировка приказа должна включать прямое указание на отмену им другого приказа. Разбираем на конкретных примерах, когда возможно аннулирование трудового договора и издание приказа об этом. Даем рекомендации, как оформить изменение приказа о приеме на работу и каким образом отменить приказ об увольнении по соглашению сторон. Узнаете и об отмене приказа об увольнении по решению суда. Получите готовые образцы разных приказов и соглашений, а также отдельные формулировки для них, которые понадобятся в сложных ситуациях.

Внутренние переводы: оформляем правильно

Любое предприятие время от времени сталкивается с ситуацией, когда работнику требуется изменить его трудовую функцию либо структурное подразделение. Причины этого различны: как собственная просьба сотрудников, так и состояние здоровья гражданина, сокращение штата, чрезвычайные обстоятельства и т. Д. Вместе с тем в наше время не является редкостью переезд работника вместе с работодателем в другую местность. Как правило, указанные операции проводят посредством перевода сотрудников на другую работу. Переводы могут быть как временные, так и постоянные, по инициативе работника и работодателя, с согласия работника и без. При этом в зависимости от вида и причины перевода различается порядок их оформления.

Как вносить изменения в приказы и приложения к ним: инструкция для кадровика

На практике нередко возникает необходимость внести изменения в действующий документ организации – приказ или утвержденный им документ. На примерах покажем, как это лучше сделать, какие формулировки использовать, когда целесообразнее утвердить правки, а когда документ в новой редакции.

Как оформить приказ по новому ГОСТ

Новый ГОСТ Р 7.0.97-2016 немного скорректировал правила оформления приказов – ​в этой статье мы предлагаем их полное актуальное изложение. Даны примеры оформления каждого реквизита (с тонкостями для различных ситуаций). Особо детально рассмотрено документирование согласования в бумажном и электронном виде. Объясняем, как визуализировать электронную подпись, если невозможно воспользоваться единственным вариантом, предусмотренным в ГОСТ. Показываем, где ГОСТ расходится с методическими рекомендациями для федеральных органов исполнительной власти.

Особенности работы лиц, имеющих детей до трех лет

Одно из направлений социальной политики нашего государства – разработка мер не только по повышению рождаемости, но и по увеличению занятости лиц, осуществляющих уход за детьми. Приветствуя инициативы предприятий по улучшению условий труда работающих мам, законодатель, не рассчитывая на всеобщую сознательность, устанавливает обязательный для всех работодателей минимум льгот и гарантий, предоставляемых данной категории работников. Из нашей статьи вы узнаете об особенностях режима работы и времени отдыха сотрудниц, имеющих детей до трех лет, о том, к каким работам они не могут привлекаться и как должны быть организованы и оплачены перерывы для кормления ребенка, о том, какие документы следует оформлять в этих и других ситуациях.