Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
    Вопросы, которые регулирует Положение
    Ссылки на нормативные акты. Указывают, на 
основании каких документов составляется 
Положение. 
В организациях, где работают государственные 
гражданские служащие, дается ссылка на: 
- Федеральный закон от 27.07.2004 N 79-ФЗ 
"О государственной гражданской службе Российской
Федерации"; 
- Указ Президента РФ от 30.05.2005 N 609 "Об 
утверждении Положения о персональных данных 
государственного гражданского служащего 
Российской Федерации и ведении его личного 
дела"; 
- нормативные акты субъекта РФ
2 Основные понятия. 
Состав персональных 
данных работников
Основные понятия. Даются определения понятий 
"персональные данные", "обработка персональных 
данных", "использование персональных данных", 
указывается срок хранения документов и т.д. 
Отдельно должно быть указано, что относится к 
персональным данным в конкретной компании с 
учетом ее особенностей (данные, используемые в 
работе, например сведения о работе на режимных 
объектах, об оформлении допуска к 
государственной тайне, о соответствии здоровья 
для профессий, связанных с тяжелыми и вредными 
условиями, и т.д.)
    Перечень документов организации, которые 
содержат персональные данные
3 Получение 
персональных данных 
работников
Процедура получения персональных данных. 
Указывается, что данные получают и обрабатывают 
на основании письменного согласия работника. 
Указываются случаи, когда согласие не нужно
4 Использование 
персональных данных
Цели использования личной информации сотрудников
5 Обработка 
персональных данных
Условия, соблюдаемые при обработке персональных 
данных работника
6 Передача 
персональных данных 
(доступ к 
персональным данным)
Порядок передачи персональных данных внутри 
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за 
нарушение норм, 
регулирующих 
обработку и защиту 
персональных данных
Указывают тех, кто несет ответственность за 
нарушение правил хранения и использования 
персональных данных

Фрагмент Положения о персональных данных работников

Общество с ограниченной ответственностью

"Черный лес"

Утверждаю

Генеральный директор

Куропаткин

---------------- Куропаткин Е.С.

г. Москва 1 августа 2011 г.

Положение о персональных данных работников

1. Общие положения

1.1. Положение о персональных данных работников ООО "Черный лес" (далее - Компания) разработано в соответствии:

- с Конституцией РФ;

- гл. 14 Трудового кодекса;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";

- Постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных";

- Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

1.2. Настоящим Положением определяется порядок работы (сбора, обработки, использования, хранения и т.д.) с персональными данными работников Компании. Под работниками подразумеваются лица, заключившие трудовой договор с Компанией. Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

1.3. Цель настоящего Положения - упорядочение обращения с персональными данными и обеспечение соблюдения законных прав и интересов Компании и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

1.4. Настоящее Положение вступает в силу с 1 июля 2011 г.

1.5. Настоящее Положение и изменения к нему утверждаются руководителем предприятия и вводятся приказом по предприятию.

1.6. Все работники предприятия должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

2. Основные понятия

2.1. Для целей настоящего Положения используются следующие основные понятия:

персональные данные - любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность;

обработка персональных данных работника - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;

распространение персональным данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или представление доступа к персональным данным работников каким-либо иным способом;

использование персональных данных - действия (операции) с персональными данными, совершаемые уполномоченным должностным лицом Компании в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

информация - сведения (сообщения, данные) независимо от формы их представления;

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. Состав персональных данных работника:

  • фамилия, имя, отчество работника;
  • дата и место рождения работника;
  • паспортные данные;
  • адрес проживания (регистрации) работника;
  • домашний телефон;
  • семейное, социальное, имущественное положение работника;
  • образование;
  • профессия, специальность, занимаемая должность работника;
  • доходы, имущество и имущественные обязательства работника;
  • автобиография;
  • сведения о трудовом и общем стаже;
  • сведения о предыдущем месте работы;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • сведения о социальных льготах;
  • размер заработной платы;
  • наличие судимостей;
  • содержание трудового договора;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
  • принадлежность лица к конкретной нации, этнической группе, расе;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.):
  • религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
  • финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

2.3. Документы, в которых содержатся персональные данные работников:

  • паспорт работника (иной документ, удостоверяющий личность);
  • анкеты;
  • заявления;
  • трудовая книжка;
  • подлинники и копии приказов по личному составу;
  • страховое свидетельство государственного пенсионного страхования;
  • свидетельство о присвоении ИНН;
  • личные дела, карточки, трудовые книжки сотрудников;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
  • трудовые и коллективные договоры;
  • копии отчетов, направляемые в органы статистики;
  • копии документов об образовании;
  • рекомендации, характеристики;
  • материалы аттестационных комиссий;
  • отчеты, аналитические и справочные материалы, передаваемые в государственные органы статистики, налоговые инспекции, другие учреждения, головную организацию;
  • документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • другие подобные документы.

Данные документы являются конфиденциальными (составляющими охраняемую законом тайну).

Режим конфиденциальности в отношении персональных данных снимается:

  • в случае их обезличивания;
  • по истечении 75 лет срока их хранения;
  • в других случаях, предусмотренных федеральными законами.

3. Обработка персональных данных работников

3.1. Источником информации обо всех персональных данных работника является непосредственно работник.

Если персональные данные возможно получить только у третьей стороны, работник заранее в письменной форме уведомляется об этом и дает письменное согласие.

Работодатель обязуется сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.3. Обработка персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
  • по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

3.4. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.5. Форма письменного согласия утверждается генеральным директором Компании.

3.6. Согласие работника на обработку персональных данных не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;

  • обработка персональных данных в целях исполнения трудового договора;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

3.7. Работник Компании обязан представить достоверные сведения о себе. Отдел кадров Компании проверяет достоверность сведений.

3.8. В соответствии со ст. 86 Трудового кодекса РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных работника выполняют следующие общие требования:

3.8.1. Обработка персональных осуществляется исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.8.2. При определении объема и содержания обрабатываемых персональных данных работодатель руководствуется Конституцией РФ, Трудовым кодексом РФ и иными федеральными законами.

3.8.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения.

3.8.4. Защита персональных данных работника от неправомерного использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.

3.8.5. Работники в обязательном порядке ознакомляются под роспись с документами Компании, устанавливающими порядок обработки данных, а также об их правах и обязанностях в этой области.

4. Передача персональных данных работника третьей стороне

4.1. При передаче персональных данных работника работодатель соблюдает следующие требования:

4.1.1. Персональные данные работника не сообщаются третьей стороне без письменного согласия работника, за исключением случаев, когда это сообщение необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

4.1.2. Персональные данные работника не сообщаются в коммерческих целях без его письменного согласия.

Обработка персональных данных работников а целях продвижения товаров, работ, услуг на рынке допускается только с его предварительного согласия.

4.1.3. Работодатель предупреждает лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требует от этих лиц подтверждения того, что это правило соблюдено.

Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

4.1.4. Работодатель разрешает доступ к персональным данным работников только специально уполномоченным лицам.

При этом лица, получившие персональные данные работника, имеют право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.1.5. Работодатель не запрашивает информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции, предусмотренной трудовым договором.

4.1.6. Работодатель передает персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

4.2. Персональные данные хранятся в отделе кадров.

4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

  • наименование и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законами права субъекта персональных данных.

5. Доступ к персональным данным работников

5.1. Право доступа к персональным данным работников имеют:

  • руководитель Компании;
  • работники отдела кадров;
  • работники бухгалтерии;
  • начальник отдела экономической безопасности (информация о фактическом месте проживания и номере телефона работника);
  • работники секретариата (информация о фактическом месте проживания и номере телефона работника);
  • начальник отдела внутреннего контроля (доступ к персональным данным работников в ходе плановых проверок);
  • руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения).

5.2. Работник Компании имеет право:

5.2.1. Получать доступ к своим персональным данным и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

5.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

5.2.3. Получать от работодателя;

  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных.

5.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2.5. Обжаловать неправомерные действия или бездействие работодателя при обработке и защите персональных данных.

5.3. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.4. Передача информации третьей стороне возможна только при письменном согласии работников.

6. Ответственность


<...>

персональные данные этоперсональные данные работника являютсяправила обработки персональных данныхзакон 152 фз о персональных данныхперсональные данные

Вид документа: 
Ключевые слова: 
Рубрика: 
+1
0
-1