+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Сколько действует положение о защите персональных данных

Содержание

Персональные данные: изменения в законодательстве

Сколько действует положение о защите персональных данных

Согласно Федеральному закону № 152-ФЗ от 27.06.2006, персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу».

Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр.

Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

Получать личные данные работодатель может только из первых рук, то есть от самого человека.

Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника.

При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

  • сохранение жизни и здоровья подчиненных;
  • помощь в трудоустройстве и образовании;
  • содействие карьерному росту;
  • контроль за выполнением работником его трудовых функций;
  • охрана материальных ценностей;
  • соблюдение исполнения законов.

Ответственность за нарушения в работе с персональными данными

С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов.

Такие изменения содержит Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.

11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

  1. Использование персональных данных в не предусмотренных законодательством целях. Административное наказание — предупреждение или штраф: для физических лиц от 1 000 до 3 000 руб., для должностных лиц — от 5 000 до 10 000 руб., для юридических лиц — от 30 000 до 50 000 руб.
  2. Обработка личных сведений без согласия работника. Сюда же относятся случаи, когда в подписанном сотрудником согласии нет перечня сведений, предусмотренных в ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006. Административное наказание — штрафы: для физических лиц — от 3 000 до 5 000 руб., для должностных лиц — от 10 000 до 20 000 руб., для юридических лиц — от 15 000 до 75 000 руб.
  3. Нарушение режима доступа к политике организации по обработке персональных данных. Работодатель обязан опубликовать в общедоступных источниках документ, в котором обозначена его политика в сфере защиты личной информации работников. Это предусмотрено п. 2 ст. 18.1 закона от № 152-ФЗ 27.07.2006, а с 1 июля будет отдельным правонарушением, которое влечет за собой ответственность в виде предупреждения или штрафов: для физических лиц — от 700 до 1 500 руб., для должностных лиц — от 3 000 до 6 000 руб., для ИП — от 5 000 до 10 000 руб. и для юридических лиц — от 15 000 до 30 000 руб.
  4. Сокрытие от работника информации о целях, сроках и способах сбора, хранения и обработки информации, о третьих лицах, которые будут работать с личными сведениями по поручению работодателя, и пр. В таких случаях работодатель получает предупреждение или выплачивает штраф: физические лица — от 1 000 до 2 000 руб., должностные лица — от 4 000 до 6 000 руб., ИП — от 10 000 до 15 000 руб., юридические лица — от 20 000 до 40 000 руб.
  5. Отказ работодателя заблокировать или уничтожить персональные данные согласно ст. 21 закона № 152-ФЗ от 27.07.2006. Административная ответственность — предупреждение или штраф: для физических лиц — от 1 000 до 2 000 руб., для должностных лиц — от 4 000 до 10 000 руб., для ИП — от 10 000 до 20 000 руб., для юридических лиц — от 25 000 до 45 000 руб.
  6. Отсутствие средств автоматизации для хранения персональных данных, хранение информации только в бумажном виде. Если такой работодатель допустил уничтожение, утечку, несанкционированное копирование и/или распространение личных данных сотрудника, на него налагается штраф: на физических лиц — от 700 до 2 000 руб., на должностных лиц — от 4 000 до 10 000 руб., на ИП — от 10 000 до 20 000 руб., на юридическое лицо — от 25 000 до 50 000 руб.
  7. Несоблюдение или нарушение процедуры обезличивания данных сотрудниками государственных и муниципальных органов власти (Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»). Административная ответственность в таком случае грозит должностному лицу в виде предупреждения или штрафа от 3 000 до 6 000 руб.

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого.

А кроме того, с 1 июля 2017 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п.

 58 ч. 2 ст. 28.3 КоАП РФ).

Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

Как составить Положение о персональных данных

Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон № 152-ФЗ, а также на ст. 87 Трудового кодекса РФ.

В Положении о персональных данных стоит отразить:

  1. Общие положения: цели и задачи организации в области защиты персональных данных, круг вопросов, которые регулирует Положение.
  2. Состав персональных данных: сведения, которые работодатель использует в рамках трудовых отношений с работником, перечень документов, в которых такие данные содержатся.
  3. Порядок сбора и обработки информации, включая способы и места хранения, меры защиты от несанкционированного распространения. Помимо прочего, здесь обязательно прописывается требование получать сведения только у самого человека или с его письменного согласия у третьих лиц. Бланк согласия можно оформить как приложение к Положению.
  4. Порядок передачи персональных данных как внутри организации, так и сторонним лицам и государственным органам. Здесь следует отразить законодательную норму передавать личную информацию о работнике третьим лицам только с его письменного согласия. Исключение — если это необходимо для защиты жизни и здоровья работника.
  5. Перечень сотрудников, имеющих доступ к персональным данным. Чаще всего это специалисты кадровой службы, бухгалтеры, руководители структурных подразделений и пр.
  6. Ответственность за разглашение личных данных сотрудников. В разделе стоит указать должности тех, кто несет ответственность за нарушение правил хранения, обработки и передачи персональных данных, а также виды ответственности, предусмотренные законодательством (об изменениях в этой сфере расскажем подробнее чуть ниже).

Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

Согласие на обработку персональных данных

Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

Согласие на обработку персональных данных оформляйте в программе Контур-Персонал

Узнать больше

Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006):

  • ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
  • ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
  • наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • цель обработки персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.

Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 152-ФЗ).

После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.

Источник: https://kontur.ru/articles/4811

Основные локальные акты по защите персональных данных. положение о защите персональных данных работн

Сколько действует положение о защите персональных данных

Этот документ, устанавливает правила и регламентирует порядок организации обращения (обработки) с персональными данными сотрудников. Положение относится к организационно-распорядительной документации и представляет собой один из издаваемых организацией локальных актов.

Общий порядок разработки положения о персональных данных работников, в основном, схож с разработкой любого другого.

Разработка документа производится в соответствии с решением руководителя кадровой службы во взаимодействии со службой (иным подразделением) обработки информации и включает подготовку предварительного варианта текста, его уточнение, согласование, оформление и представление на утверждение.

Окончательно оформленный документ утверждается соответствующим приказом, издаваемым руководителем организации.

документа обычно разрабатывается на основе типовых (примерных) положений о персональных данных, а также документов, регулирующих деятельность организации в области управления кадровыми и информационными ресурсами.

Рекомендуемая структура положения:1. Общая информация.2. Состав персональных данных сотрудников.3. Организация обработки персональных данных.

4. Ответственность за нарушение требований к обработке персональных данных.

К положению в качестве приложений обычно разрабатываются и прикладываются формы заявлений о согласии работника на обработку, получение и передачу его персональных данных третьими лицами.

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена.

Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов.

Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска.

Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия.

Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия.

Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

  1. В самом начале приказа все стандартно: первым делом напишите тут название компании, наименование распоряжения, его номер и дату составления. Затем переходите к основной части.
  2. Обязательно укажите тут, в связи с какими обстоятельствами создается приказ (это будет его обоснование) и поставьте ссылку на норму закона или внутренний документ компании, имеющий непосредственное отношение к формированию распоряжения (это будет основание).
  3. Потом внесите собственно указание о назначении ответственного лица, обозначив его должность и ФИО.
  4. Коротко отметьте его основные функции и обязанности (полный их перечень лучше привести в соответствующей должностной инструкции), а также впишите сведения о работнике (также должность и ФИО), который будет замещать ответственного сотрудника в период его отсутствия на работе по уважительным причинам.
  5. В завершение не забудьте возложить контроль за исполнение данного распоряжение на кого-либо из руководящего состава предприятия (следует отметить, что контролировать выполнение приказа может и сам директор), а также собрать все необходимые подписи.

Приказ об утверждении положения о персональных данных

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Правовая основа

Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:

  • обработки личной информации сотрудников;
  • хранения и пользования данными;
  • передачи личных данных работников.

На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:

  • какие сведения относятся к категории «персональных»;
  • кто имеет доступ к сведениям работников личного характера;
  • как осуществляется сохранность персональных данных (на каком носителе);
  • в каком порядке происходит обработка информации;
  • где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
  • на каких основаниях и кому могут передаваться данные о работнике;
  • как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
  • порядок его утверждения и изменения.

Приложение может включать образцы заявлений работников:

  • о согласии с обработкой своих личных данных;
  • о согласии получения дополнительных сведений в отношении работника.

Типовой вариант такого документа по указанию руководства может быть разработан:

  • специалистом по кадрам;
  • юристом компании;
  • помощником руководителя.

Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

приказа

Приказ должен включать в себя следующие элементы:

  1. Вводную часть, в которой будет указываться:
    • наименование работодателя;
    • номер, название и дата приказа;
    • город места составления;
    • основания вынесения.
  2. Основную часть, в которой прописываются:
    • факт утверждения положения по личным данным работников;
    • срок, с которого положение вводится в действие;
    • должностное лицо, допущенное к работе с личной информацией;
  • степень полноты допуска должностных лиц к сведениям.
  • Заключительную часть, которая содержит:
    • указание ответственного за выполнение приказа лица;
    • обязанность довести до сведения работников положения о персональных данных, взять их согласие в письменной форме на обработку сведений;
    • подпись руководителя или надлежащим образом уполномоченного заместителя;
    • дату ознакомления и подпись должностного лица, ответственного за выполнение распоряжения.
  • Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления.

    Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

    При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:

    1. При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
      • до 70 тысяч рублей (для юридического лица);
      • до 5 тысяч рублей (для ИП).

    Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей.

    При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор).

    При повторном нарушении соответствующий работник может быть уволен.

  • В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
    • обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
    • необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
    • производится с добровольного согласия работника, предоставленного в письменном виде.
  • Сроки хранения документов

    В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

    Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

    Положение о персональных данных и образец приказа об утверждении Положения о персональных данных

    Источник: https://bibirev.ru/osnovnye-lokalnye-akty-po-zashhite-personalnyh-dannyh-polozhenie-o-zashhite-personalnyh-dannyh-rabotn/

    Срок действия согласия на обработку персональных данных

    Сколько действует положение о защите персональных данных

    Субъектам хозяйствования, независимо от формы собственности, необходимо собирать, обрабатывать, хранить персональные данные (ПДн) работников, партнеров по бизнесу и других лиц.

    Получать согласия на обработку персональных данных нужно с соблюдением требований законодательства.

    Оператору также нужно знать, сколько может действовать такое согласие, чтобы при выполнении любых действий с ПДн не нарушать требования законодательных актов.

    Срок действия согласия

    Хранить и обрабатывать личные данные оператор может на протяжении некоторого срока. Для этого нужно получить у субъекта ПДн одобрение на их использование, в котором указывается период его действия. Но в законе о персональных данных № 152 не указываются эти граничные сроки (гл. 2 з-на). Соответственно, нужно установить этот срок, опираясь на взаимно подписанное соглашение.

    Предусматривается три варианта фиксации срока такого разрешения:

    1. Можно установить ограниченное время на использование и хранение ПДн, прописав конкретную дату, до которой разрешение будет юридически законным. В таком случае нужно учитывать, что по окончании этого срока может понадобиться применить личные сведения гражданина.

    Но до оформления нового разрешения воспользоваться ими не разрешается, поэтому можно потерять много времени на документальные проволочки, что иногда тянет за собой проблемы.

    Нужно постоянно контролировать граничные сроки действия разрешения и до окончания указанной в нем даты оформить новое одобрение.

    2. Следующий способ: вписать в разрешение срок действия данного документа – до реализации условий, при которых обработка ПДн будет прекращена. В согласии гражданина на обработку его ПДн нужно указать какое-либо событие вместо конкретного числа.

    Это может быть дата увольнения сотрудника, выполнение какой-либо услуги. Такой формат срока действия разрешения более приемлем в плане уменьшения затрат времени на бумажную фиксацию этого разрешения. Пока сотрудник не уволился, не нужно контролировать его сведения, чтобы отслеживать срок действия полученного от него согласия.

    Также не требуется подписывать новое разрешение, если срок старого истек.

    3. Можно воспользоваться комбинированным вариантом определения срока действия согласия, при котором устанавливается дата окончания и наступления конкретного события.

    Примером такого способа может служить оформление займа в банке. Кредитор рассчитывает использовать сведения о заемщике на протяжении трех лет после закрытия кредита.

    Соответственно, в соглашении указывается срок – на протяжении трех лет с даты окончания действия договора кредитования.

    согласия

    В законе о ПДн № 152-ФЗ прописан ряд обязательных требований в отношении оформления согласия на пользование личными сведениями, которые нельзя игнорировать. Во время формирования согласия важно тщательно проработать и внести следующую информацию:

    • цель – не каждый гражданин хочет, чтобы его личные сведения были доступны всем. Нужно указать в одобрении, с какой целью требуется обрабатывать ПДн, кто будет иметь доступ к этой информации. К примеру, если работник будет выходить на пенсию, кадровик должен передать его документы Пенсионному фонду. От оперативности передачи данных будет зависеть своевременность назначения пенсии. Но если сотрудник рассчитывает на действия с его личными данными исключительно для работы, он может проявить свое недовольство тем, что его руководством переданы сведения о нем для действий, не связанных с работой;
    • отрезок времени, на протяжении которого ПДн гражданина будут использоваться. Нужно прописывать срок действия согласия на обработку персональных данных. К примеру, работник два года назад прекратил трудовые отношения с компанией, а бывший работодатель предоставляет его личные сведения в целях оформления карты для зачисления заработной платы в определенном банке. Это может привести к недовольству бывшего сотрудника. Не нужно игнорировать необходимость установки периода обработки ПДн, чтобы избежать проблем с обращением работника в судебные органы или прокуратуру;
    • срок хранения документов с ПДн. Если согласие на использование персональных данных было дано для каких-либо конкретных целей, то их уничтожение должно быть произведено на протяжении 1 месяца после того, как цель достигнута. Это требование регламентировано статьей 21 ФЗ № 152. Как только стороны выполнят свои обязательства в отношении друг друга, сведения хранить не имеет смысла.

    Нужно знать, что законодательство требует хранить документацию, касающуюся сотрудника, на протяжении 75 лет. Это касается и личной информации.

    Продление сроков

    Если необходимо продлить срок действия согласия на какой-либо период после окончания указанной в нем даты, выполнить это можно следующим образом:

    • заключить дополнительное соглашение;
    • сделать новое разрешение;
    • внести в его текст возможность автоматического продления на конкретный период.

    Чтобы избежать конфликтов, недоразумений между сторонами, лицо, уполномоченное на обработку ПДн, должно владеть знаниями о требованиях актуального законодательства и обеспечить их выполнение.

    Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/soglasie-na-obrabotku-personalnykh-dannykh/srok-dejstviya-soglasiya-na-obrabotku-personalnykh-dannykh/

    Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец

    Сколько действует положение о защите персональных данных

    Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами — физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

    Для чего необходимо положение о защите персональных данных

    Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.

    Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

    С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

    Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

    Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

    Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

    Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

    Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов.

    Внимание! Законодательство устанавливает, что в состав Положения должно входить согласие на обработку личных данных работника. Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

    При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

    Какие данные сотрудников являются персональными

    Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

    Сюда включаются:

    • Полные личные данные работника (Ф.И.О.).
    • Сведения о месте и дате появления его на свет.
    • Адрес фактический и по регистрации.
    • Социальное, семейное, имущественное положение.
    • Имеющиеся у работника образование, профессия.
    • Сведения о получаемых сотрудником доходах и т. д.

    Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

    Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

    Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

    Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

    Общие положения

    Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

    Перечень персональных данных сотрудников

    Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных.

    Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений.

    Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

    Операции с персональными данными

    В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

    Доступ к персональным данным

    В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

    Обязанности работников с доступом к персональным данным

    В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

    Права работников в отношении операций с персональными данными

    Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

    Защита персональных данных

    В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные.

    Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.).

    Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

    Порядок утверждения положения о персональных данных сотрудников

    Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

    Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

    Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

    Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

    Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

    Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

    Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

    бухпроффи

    Важно! Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

    Ответственность за разглашение персональных данных

    C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

    Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

    • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
    • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
    • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
    • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.

    Источник: https://buhproffi.ru/dokumenty/polozhenie-o-zashhite-personalnyh-dannyh.html

    Поделиться:
    Нет комментариев

      Добавить комментарий

      Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.