Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Положение о защите персональных данных работников — образец 2022 года

Меры по защите личных данных сотрудников требуют разработки специального комплекта документов. Это приказ о назначении ответственного за организацию обработки личной информации о работниках и локальный нормативный акт о защите таких данных, а также другие документы, которые необходимы работодателю. Подобные меры компании разрабатывают самостоятельно при участии работников и их представителей. О том, как подготовить необходимые документы, расскажем в нашей статье. Вы сможете скачать образцы положения о защите персональных данных и приказа о его утверждении.

Что относится к персональным данным работника

Под персональными данными в соответствии со статьей 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» подразумевается любая информация, прямо или косвенно относящаяся к человеку.

Наиболее полно и понятно состав этих сведений раскрыт в письме Минкомсвязи РФ (сейчас эта структура имеет сокращенное название Минкомцифры) от 28.08.2020 № ЛБ-С-074-24059. Данный документ содержит методические рекомендации по вопросам обработки личных данных. Рекомендации нацелены в первую очередь на школы и другие образовательные организации для использования при обработке данных обучающихся. Но работодатели также могут взять их себе на заметку.

В соответствии с рекомендациями Минкомсвязи к персональным данным относятся:

  • фамилия, имя, отчество;
  • год, месяц, дата рождения;
  • место рождения;
  • адрес;
  • телефон;
  • семейное положение;
  • социальное положение;
  • имущественное положение;
  • образование;
  • профессия;
  • занимаемая должность;
  • стаж работы;
  • доходы;
  • иная информация. 
Обработка персональных данных работника

Обработка персональных данных включает все действия работодателя с такой информацией: ее сбор, получение, уточнение, накопление, хранение, передачу. Запрашивание паспортных данных и других сведений у претендентов на вакантную должность или у работников при заключении трудового договора – это уже обработка личных сведений.

К документам, содержащим персональные данные сотрудника, относятся:

  • анкета, которую человек заполняет при приеме на работу;
  • копия паспорта;
  • сведения о трудовом стаже, прежних местах работы, трудовая книжка или ее копия;
  • копии свидетельств о заключении брака, рождении детей;
  • документы воинского учета;
  • справка о доходах и суммах налога физического лица с предыдущего места работы;
  • документы об образовании;
  • документ, который подтверждает регистрацию в системе персонифицированного учета. Это может быть карточка СНИЛС, выданная до 01.04.2019, либо уведомление по установленной форме;
  • трудовой договор;
  • подлинники и копии приказов по личному составу.

Законодателем установлено немало требований к работе с личными сведениями. Общие требования установлены статьей 86 Трудового кодекса РФ:

  • учреждения должны обрабатывать персональные данные только в определенных целях. К примеру, если этого требует закон, чтобы трудоустроить сотрудника или обеспечить его безопасность;
  • персональные данные нужно получить у работника. Если получить их можно только у третьего лица, перед обращением к нему необходимо уведомить сотрудника и заручиться его письменным согласием;
  • сотрудники должны быть ознакомлены под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных в компании;
  • работодатель при участии своих работников должен разработать специальный комплект документов для защиты личной информации;
  • компания не имеет права получать и обрабатывать личные данные сотрудника о его политических, религиозных и иных убеждениях и частной жизни, о членстве в общественных объединениях или профсоюзной деятельности;
  • работодатель за счет собственных средств обеспечивает защиту данных от неправомерного их использования или утраты.

Остановимся более подробно на некоторых из перечисленных моментов.

Как мы уже говорили, обрабатывать персональные данные сотрудников можно только в строго определенных целях, таких как:

  • соблюдение законов и других нормативных правовых актов (это может быть передача личных данных сотрудников в ФСС РФ или ПФР по запросу);
  • помощь сотрудникам в трудоустройстве, получении ими образования, карьерном продвижении;
  • обеспечение безопасности сотрудников, контроль над выполняемой ими работой;
  • обеспечение сохранности имущества.

При работе с личными данными за редким исключением нужно получить письменное согласие сотрудника (ст. 6, 9 Закона от 27.07.2006 №152-ФЗ). Более подробно этот вопрос освещен в нашей статье «Новое согласие на обработку персональных данных – 2022», которая находится здесь.

Письменное согласие сотрудника потребуется даже для размещения его фотографии на Доску почета. Это обстоятельство связано с тем, что фотография рассматривается законодателем как биометрические персональные данные, то есть сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Исключения, при которых согласие сотрудника не потребуется, прямо регламентированы законом. Так, не нужно получать согласие при организации пропускного режима на территории работодателя (п. 5 рекомендаций Роскомнадзора, содержащихся в письме от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания»). Также исключением является сообщение личной информации сотрудника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 Трудового кодекса РФ, п. 4 рекомендаций Роскомнадзора).

Все персональные данные работника должны быть получены непосредственно только от него (ст. 86 Трудового кодекса РФ). Если получить у сотрудника такие сведения невозможно, то можно запросить их у третьих лиц, соблюдая определенные требования. Об этом нужно будет уведомить лицо заранее и получить его письменное согласие.

Оформить такое уведомление нужно письменно, включив в него информацию, предусмотренную п. 3 ст. 86 Трудового кодекса РФ:

  • цели получения личной информации о сотруднике у третьих лиц;
  • предполагаемые источники информации, то есть те лица, у которых будут запрашиваться данные;
  • способы получения сведений, их характер;
  • возможные последствия отказа сотрудника дать согласие на получение его персональных данных у третьих лиц.

Такое уведомление должно быть вручено работнику под подпись.

Согласие сотрудника на получение работодателем его персональной информации у третьих лиц может быть оформлено отдельным документом. Оно должно включать следующие сведения:

  • Ф.И.О., адрес сотрудника, реквизиты паспорта или иного документа, удостоверяющего его личность, кем и когда выдан;
  • наименование и адрес работодателя;
  • перечень личных данных, на получение которых дает согласие работник;
  • срок, в течение которого действует согласие.

На таком согласии работник должен расписаться. Только тогда администрация компании сможет доказать, что сотрудник действительно дал разрешение на получение своих его данных у третьей стороны.

Теперь коснемся вопроса о том, какие документы о порядке работы с персональными данными должны быть в компании. Конкретный перечень таких документов законодателем не установлен. Как правило, юрлица издают положение о персональных данных либо иной локальный нормативный акт. В этом документе описывают все действия по работе с личными данными: их сбор, хранение, использование, передачу и прочее.

Также согласно статье 18.1 Закона от 27.07.2006 №152-ФЗ в организации должен быть разработан и утвержден документ, определяющий политику в отношении обработки личной информации. Его структуру и содержание работодатель может установить самостоятельно. При этом целесообразно руководствоваться рекомендациями, изданными Роскомнадзором в письме от 19.10.2021 № 08-71063. Такой документ должен включать в себя сведения о цели сбора личных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых сведений, порядке и условиях их обработки.

Руководителям учреждений, перед которыми стоит вопрос разработки документов о работе с личными данными, стоит проверить, не установлены ли по отношению к ним специальные требования. Возможно, что структурами, которым подведомственно конкретное учреждение, уже приняты специальные документы в этой области. Так, если учреждение подведомственно Роспотребнадзору, нужно руководствоваться специальным положением об обработке и защите персональных данных в этой федеральной службе.  Если же учреждение подведомственно Рособразованию, при подготовке документов нужно учесть рекомендации, приведенные в письме Рособразования от 22.10.2009 № 17-187.

Ознакомить сотрудников с документами, которые регламентируют в организации порядок обработки личной информации, необходимо под подпись (ст. 22, 86 Трудового кодекса РФ). Можно использовать такой же порядок ознакомления, что и при ознакомлении с правилами внутреннего трудового распорядка. Это может быть лист ознакомления, составленный в свободной форме.

Политику в отношении обработки персональных данных нужно обнародовать. Можно разместить ее на сайте организации либо вывесить распечатанную версию на стенде в офисе фирмы. Главное, чтобы был обеспечен неограниченный доступ к этому документу (письмо Роскомнадзора от 19.10.2021 № 08-71063).

Защита работодателем личной информации о сотрудниках будет зависеть от того, в каком виде она хранится: на бумажных носителях или же в электронном виде.

Требования к защите личной информации на бумажных носителях не описаны законодателем подробно. Ключевое требование здесь – принять необходимые правовые, организационные и технические меры для защиты личных сведений работников от неправомерного использования или утраты либо обеспечить принятие таких мер (ст. 86 Трудового кодекса РФ, ст. 19 Закона от 27.07.2006 №152-ФЗ).

Обычно рекомендуется придерживаться следующего:

  • хранить информацию на бумажных носителях в специальных помещениях;
  • организовать особый режим доступа в эти помещения и их охрану.

В некоторых случаях необходимо хранить персональные данные в железных шкафах. Это касается, в частности, документов воинского учета, содержащих данные таких сотрудников (п. 21 методических рекомендаций по ведению воинского учета в организациях).

А вот организовать защиту персональных данных, которые хранятся в информационных системах, дело более сложное. Основное требование закона – принять работодателем необходимые правовые, организационные и технические меры для защиты личной информации сотрудников от неправомерного использования или утраты либо обеспечить принятие таких мер (ст. 86 Трудового кодекса РФ, ст. 19 Закона от 27.07.2006 №152-ФЗ).

Но поскольку есть нюансы, с которыми сложно разобраться неспециалисту, работодатели часто привлекают специализированную организацию, у которой есть лицензия на деятельность по технической защите конфиденциальной информации.

Для защиты персональных данных, в частности, потребуется:

  • определить тип угрозы безопасности данных;
  • подобрать один из четырех уровней защищенности данных, исходя из определенного типа угрозы, в соответствии с пунктами 8—16 требований к защите персональных данных при их обработке в информационных системах.

Опираясь на это, будет зависеть комплекс необходимых для защиты информации мер.

Работники в целях обеспечения защиты данных, хранящихся у работодателя, имеют право:

  • на полную информацию о своих личных данных и их обработке;
  • свободный бесплатный доступ к данным, включая право на получение копий любой записи;
  • требование об исключении или исправлении неверных или неполных сведений;
  • другие права.

Какие риски возможны при нарушении требований к обработке персональных данных работников организации? При нарушении данных положений может последовать:

  • административная ответственность:
    — по частям 1, 2 ст. 5.27 КоАП РФ за несоблюдение требований к обработке персональных данных сотрудников, которые установлены Трудовым кодексом РФ. В частности, если фирма не ознакомила сотрудников под подпись с локальными нормативными актами, которые устанавливают порядок обработки персональных данных;
    — по статье 13.11 КоАП РФ за нарушение требований к обработке персональных данных, которые установлены законом о персональных данных. Это возможно, если не был обеспечен свободный доступ к документу, определяющему политику юрлица в отношении обработки личных данных;
  • уголовная ответственность:
    — по части 2 ст. 137 Уголовного кодекса РФ, если лицо, ответственное за обработку персональных данных других сотрудников, злоупотребляет своими служебными полномочиями, собирает и распространяет сведения об их частной жизни. 
Утверждение положения о персональных данных

Положение о персональных данных должно быть утверждено приказом руководителя компании, который составляется в произвольной форме. Специальные требования к оформлению этого документа могут быть установлены инструкцией по делопроизводству или другим локальным нормативным актом юрлица. В нем указываются дата ввода положения в действие, срок ознакомления с ним работников, а также перечень лиц, ответственных за исполнение приказа. Образец приказа мы разместили здесь.

При составлении приказа можно ориентироваться на ГОСТ Р 7.0.97-2016, утвержденный Приказом Росстандарта от 08.12.2016 № 2004-ст (далее — ГОСТ Р 7.0.97-2016), которым регламентируется оформление организационно-распорядительных документов, в том числе и приказов. В целях применения ГОСТ Р 7.0.97-2016 также разработаны методические рекомендации к нему.

Формулировки приказа должны быть исчерпывающе точными, конкретными, не допускающими различных толкований. Приказ об утверждении положения может быть составлен на фирменном бланке организации. Вверху указывают полное или краткое наименование компании, а также ее эмблему и товарный знак (при его наличии). Ниже прописывают наименование вида данного документа – приказ, регистрационный номер и дату приказа, город места составления, наименование приказа (к примеру, «Об утверждении положения о защите персональных данных работников»).

В преамбуле документа необходимо отразить основание для его подготовки, указать пункты и статьи законодательных актов, регулирующих вопросы защиты персональных данных работников. Преамбула может звучать так: «Во исполнение требований главы 14 Трудового кодекса РФ и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях защиты персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты приказываю…».

В основном тексте приказа нужно разместить следующую информацию:

  • распоряжение об утверждении разработанного положения, которое в обязательном порядке должно являться приложением к приказу. При этом на первом листе приложения в правом верхнем углу необходимо написать: «Приложение № 1», затем указать реквизиты приказа. К примеру: «Приложение № 1 к приказу ООО «Весна» от 04.04.2022 № 10/22». Следует прописать дату ввода в действие положения. Это может быть либо конкретная дата, либо указание на то, что документ вступает в силу со дня подписания приказа о его утверждении;
  • назначение лиц, ответственных за ознакомление работников организации с введенным в действие документом, а также лиц, ответственных за соблюдение требований положения. Здесь возможны следующие формулировки: «Начальникам отделов ознакомить своих подчиненных с положением о защите персональных данных работников ООО «Весна», «Возложить персональную ответственность за соблюдение требований положения на инспектора отдела по работе с персоналом Абрамову Я.К.». Следует также указать сроки ознакомления;
  • сведения о лице, на которое возлагается контроль за исполнением приказа. Это может быть как начальник, так и другой работник, назначенный руководителем. К примеру: «Контроль за исполнением настоящего приказа возложить на начальника отдела по работе с персоналом Синицына С.А.» или «Контроль за исполнением настоящего приказа оставляю за собой»;
  • сведения о лицах, с которыми согласован данный приказ, если подобный порядок координирования применяется у работодателя.

Подписывают приказ руководитель организации или иное уполномоченное лицом Порядок следующий: указывается должность, ставится подпись и ее расшифровка. Ознакомление с приказом ответственных лиц должно проходить под подпись, перечень таких лиц указывается в тексте документа. Также в обязательном порядке расписывается работник, ответственный за разработку данного документа (ст. 22 ТК РФ).

Когда приказ утвержден, его порядковый номер необходимо проставить в журнале регистрации распоряжений. Лишь после утверждения приказом положение о защите персональных данных работников вступает в силу и должно быть доведено до их сведения.

Сотрудники и их представители должны быть ознакомлены под подпись с документами компании, устанавливающими порядок обработки личных данных работников, а также об их правах и обязанностях в этой области (ст. 86, 88 Трудового кодекса РФ). 

Положение о защите персональных данных - 2022

В положении о защите персональных данных работников должен быть установлен порядок работы с этой информацией, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Данное положение относится к тем локальным актам, которые обязательно должны быть в организации.

В соответствии со статьей 87 ТК РФ порядок хранения и использования личных данных сотрудников устанавливается работодателем с учетом требований Трудового кодекса РФ и иных федеральных законов. Данная норма подразумевает регулирование порядка обработки персональных сведений сотрудников на локальном уровне. Отсутствие такого документа может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Этот вывод подтверждается и судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структура положения может быть следующей:

  • раздел «Общие положения», в котором прописывают, с какой целью принимается данное положение и какие вопросы оно регулирует;
  • раздел «Состав персональных данных работников», в котором указывают, какие документы в компании содержат личные данные;
  • раздел «Обработка персональных данных» содержит условия, которые должны быть соблюдены при обработке информации;
  • раздел «Передача персональных данных» с прописанным порядком передачи личной информации о сотрудниках внутри организации и в отношениях с третьими лицами;
  • раздел «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных», где нужно указать, кто в компании несет ответственность за нарушение правил хранения и использования личной информации.

Положение издается и утверждается работодателем путем издания приказа, который подписывает руководитель организации или иное уполномоченное на это лицо. Об этом мы подробно рассказывали ранее.

При наличии в компании представительного органа работников положение должно приниматься с учетом требований ст. 372 Трудового кодекса РФ. Согласно данной норме перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его принятия в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства сотрудников.

Исходя из требований статей 68, 86 Трудового кодекса РФ, работники и их представители должны быть под подпись ознакомлены с положением о персональных данных. Факт ознакомления с указанным документом может быть зафиксирован как в тексте трудового договора, так и в отдельном документе или в положении на листе ознакомления с ним. Также в компании может быть предусмотрен журнал ознакомления сотрудников с локальными нормативными актами, где все работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами.

Закон не содержит обязанности сотрудников своевременно уведомлять работодателя об изменении личной информации. Но непредставление работником измененных данных влияет и на исполнение работодателем своих обязанностей. Поэтому в положении можно предусмотреть обязанность сотрудника извещать работодателя о таких изменениях в конкретный срок. Это избавит от многих проблем. 

Образец положения о защите персональных данных работников

Разработать положение о защите персональных данных работников поможет подготовленный нами образец, расположенный здесь

эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь