Перечень лиц имеющих доступ к личным делам работников устанавливается

Перечень лиц имеющих доступ к личным делам работников устанавливается
Автор На чтение 30 мин Просмотров 26 Обновлено
Содержание

Приказ об утверждении списка лиц, имеющих доступ к персональных данным работников – документ, содержащий перечень физических лиц, которые имеют доступ к обработке персональных данных работников на предприятии. Под «обработкой данных» принято понимать получение, комбинирование, хранение, передача, а так же иное использование персональных данных работников.

Независимо от того на каком носителе хранятся полученные персональные данные работников (бумажные или электронные), в обязательном порядке должен быть установлен конкретный перечень физических лиц, которые в силу своих должностных обязанностей должны иметь доступ к персональным данным. Это отображено в Федеральном законе № 152-ФЗ «О персональных данных», целью которого является обеспечение защиты свобод и прав работника при обработке его персональных данных, а так же защиты прав на неприкосновенность его частной жизни. Таким образом, утвержденный приказом руководителя предприятия перечень конкретных лиц, ограничивает доступ к персональным данным работников, что в точности следует вышеупомянутому Закону.

Перечень лиц имеющих доступ к личным делам работников устанавливается

Помимо соответствующего приказа, на каждом предприятии должно быть разработано Положение о персональных данных, целью которого является защита персональных данных работников от неправомерного их использования, утраты, а так же несанкционированного доступа посторонних лиц.

Кем издается?

Приказ представляет собой правовой акт, который относится ко всему предприятию, определяет его деятельность и решает его основные задачи. Приказ издается единолично руководителем фирмы.

В перечень таких лиц могут войти руководитель, его заместители, работники отдела кадров, сотрудники бухгалтерии, служба безопасности, секретарь и иные работники, которым эти сведения нужны для выполнения трудовых обязанностей.

Доступ может быть и к информации, предоставленной клиентами организации или другими лицами. Все это требует отдельного уточнения при составлении документа.

Если допуск понадобится лицам, не обозначенным в приказе, для них издается отдельный документ. Допуск регистрируется в журнале.

Общие правила составления

  1. Приказ оформляется на бланке формата А4.
  2. Приказ должен содержать пункты, разъясняющие, что надо сделать, за какое время и кто из сотрудников за это отвечает.
  3. Текст приказа состоит из констатирующей и распорядительной части. В констатирующей части указываются причины, побудившие создать приказ. В данном случае это законодательные акты. В документе необходимо четко перечислить те законы, на основании которых происходит обработка персональных данных (а более детально о нюансах оформления приказа о назначении ответственного за обработку и другие действия с персональными данными читайте тут). Это должны быть конкретные пункты и статьи, а не просто формальная отсылка к названию закона. Распорядительная часть указывает на те действия, которые необходимо выполнить.
  4. Распорядительная часть отделяется глаголом «ПРИКАЗЫВАЮ». Он пишется после констатирующей части с новой строки, без кавычек. В конце ставится двоеточие, а далее идут пункты, необходимые к выполнению. Они нумеруются арабскими цифрами. Могут быть и подпункты.
  5. Последним пунктом указывается лицо, на которое возлагается контроль за исполнением приказа.
  6. Перед подписанием документ проверяется на наличие орфографических и стилистических ошибок.
  7. Внизу документа ставят подписи те лица, к которым он относится.

Документ определяет, с какими именно персональными данными будет вестись работа. Перечень должен быть максимально полным, туда должны быть включены сведения, с которыми работает именно эта организация.

Состав личного дела — Елена Пономарева

Правовой акт включает в себя:

  1. Наименование организации. Например, МОУ СОШ №7.
  2. Название документа (ПРИКАЗ) и его номер.
  3. Дату создания. Например, 5 октября 2016 г.
  4. Место создания. Например, г. Пермь.
  5. Отсылку к законодательной базе, на основании которой он создается. Пример: В целях соблюдения закона РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и в целях защиты персональных данных сотрудников.
  6. Утверждение перечня и отсылку к нему. Перечень часто оформляется в виде приложения. Пример: ПРИКАЗЫВАЮ Утвердить прилагаемый перечень данных МОУ СОШ №7.
  7. Назначение ответственного за исполнение. Например: Контроль за исполнением приказа оставляю за собой.
  8. Перечень персональных данных, оформленный в виде таблицы или иным способом. Столбцы таблицы составляются в зависимости от целей и задач компании. Например, это могут быть такие данные для утверждения: места хранения личных сведений, цель их обработки и непосредственно сами данные.
  9. Подпись руководителя и, в случае необходимости, иных лиц.
  • Скачать бланк приказа об утверждении перечня персональных данных
  • Скачать образец приказа об утверждении перечня персональных данных
  • Скачать бланк приказа об утверждении мест хранения персональных данных
  • Скачать образец приказа об утверждении мест хранения персональных данных

Установление списка лиц, имеющих доступ к такой информации

Цель приказа – обозначить перечень лиц, имеющих доступ к персональным данным других сотрудников.

В правовом акте должно присутствовать:

    Название организации (указывается сверху). Например, ООО «Родон».
  • Название документа (ПРИКАЗ), его номер.
  • Дата составления. Например, 4 августа 2017 г.
  • Место составления. Например, г . Москва.
  • Ссылка на законодательство, на основании которого он издается. Пример: В соответствии с Трудовым кодексом РФ и законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года.
  • Перечень работников, допущенных к сведениям, с указанием их должности. Вот примерно как выглядит документ для утверждения списка лиц, имеющих доступ к личным сведениям работников:
  • Генеральный директор Г. Е. Чуриков.
  • Зам. генерального директора К. А. Голиков.
  • Начальник отдела кадров И. Н. Дирина.
  • Главный бухгалтер Е. Г. Листовская.

Каждый работник, получивший доступ, должен подписать соглашение о неразглашении персональных данных. Тогда в случае утечки информации и ее неправомерного использования можно наказать виновных. Если такое соглашение не было подписано, вся вина ложится на руководителя предприятия.

  • Скачать бланк приказа об установлении списка лиц, имеющих доступ к персональным данным
  • Скачать образец приказа об установлении списка лиц, имеющих доступ к персональным данным

Сотрудники должны быть предупреждены под роспись о тех санкциях, которые будут на них наложены при разглашении конфиденциальных сведений.

Это могут быть дисциплинарные взыскания (увольнение, выговор, замечание), штрафы.

Также представляем материалы об особенностях приказа о внесении изменений персональных и паспортных данных работника, о правилах составления приказа о защите персональных данных и о том, как ввести положение о защите.

Оформление готового документа

  1. Документ предпочтительно напечатать на компьютере.
  2. Оформление документа стандартное.
  3. Сверху указывается организация, далее ставится дата создания, номер и название.
  4. Сам текст состоит из отсылки к законодательным актам, потом следует перечень тех действий, которые необходимо выполнить работникам.
  5. Внизу приказа должны быть подписи лиц, указанных в правовом акте, а также подпись лица, издавшего приказ, т.е. руководителя компании или его заместителя.
  6. Если необходимо, к документу добавляется приложение.
  7. Приказ должен быть учтен в специальном журнале. Туда вносится наименование правового акта, его номер и дата составления.

Наказания за нарушения в работе с персональными данными ужесточились. Поэтому к оформлению и содержанию приказов нужно подойти серьезно, чтобы избежать штрафов при проверке. Документы должны быть составлены в соответствии с требованиями законодательства.

Как защитить персональные данные: пошаговая инструкция

В законе №152-ФЗ закреплена обязанность работодателя препятствовать утечке личной информации о физлицах, которая попадает в его распоряжение в процессе трудовой деятельности. Расскажем пошагово, как это реализовать на практике.

Шаг 1. Разработать и утвердить локальный акт о работе с персональными данными

Отсутствие Положения о работе с персональными данными сотрудников — это основание для привлечения компании к ответственности по ст. 5.27 КоАП. Если Роструд придет с проверкой, и акта в отделе кадров не окажется (а равно — не будет листа ознакомления персонала), грозит штраф от 30 до 50 тысяч руб.

В Положении пропишите:

  • правила обработки, хранения и использования персональных данных физлиц;
  • перечень документов, которые содержат ПД, а потому подлежат охране;
  • порядок передачи персданных внутри организации и третьим лицам;
  • перечень лиц, которые имеют доступ к личной информации сотрудников;
  • ответственность за нарушение норм, регулирующих работу с ПД, в том числе дисциплинарную, материальную, административную, гражданско-правовую и уголовную.

Шаг 2. Издать приказ о назначении ответственного лица

Из числа сотрудников руководитель должен выбрать лицо, которое будет отвечать за организацию работы с ПД на предприятии (ч. 1 ст. 18.1, ч. 1 ст. 22.1 закона №152-ФЗ).

Как правило, это кто-то из топ-менеджмента: начальник службы персонала, глава отдела безопасности, заместитель гендира. За обработку данных в автоматизированных системах контроля и управление доступом может отвечать также руководитель IT-подразделения.

Шаг 3. Определить круг лиц, имеющих доступ к персональным данным

Ряд сотрудников по долгу службы сталкиваются с обработкой персданных ежедневно. Например, hr-специалисты и кадровики принимают соискателей, занимаются оформлением, сканируют личные документы при приеме на работу.

Для таких лиц необходимо открыть доступ и четко регламентировать круг полномочий (абз. 6 ст. 88 ТК).

Важно: сотрудники получают разный уровень доступа в зависимости от своего положения и должностных обязанностей. Так, секретарь использует паспортные данные для покупки билетов, бухгалтер обрабатывает больничные листы, а руководители подразделений могут владеть сведениями только о своих подчиненных.

С каждого члена коллектива, который допущен к ПД, работодатель должен взять Обязательство о неразглашении.

Это односторонний документ, в котором секретарь (главбух, начальник отдела кадров) обязуется не разглашать, не передавать третьим лицам, не использовать личную информацию коллег с целью получения выгоды, а кроме того, фиксирует, что предупрежден об ответственности по ст. 90 ТК.

Шаг 4. Обеспечить безопасное хранение персональных данных

Способ хранения зависит от того, как обрабатываются данные.

Если это полностью автоматизированная система, в которой исключен ручной труд, то необходимо позаботиться о безопасности, в соответствии с критериями приказа ФСТЭК от 18.02.2013 № 21. В том числе:

  • Ограничить доступ к электронным базам и отдельным сведениям для разных категорий сотрудников.
  • Установить двухуровневую схему паролей — на уровне локальной сети и на уровне баз данных.
  • Периодически менять пароли, обычно это делают раз в месяц.
  • Выдавать ключи исключительно в руки уполномоченных лиц.

При неавтоматизированной обработке, когда персданные хранятся на бумаге, работодатель должен:

  • Определить места для архива материальных носителей и обеспечить персонифицированный доступ.
  • Установить перечень лиц, допущенных в хранилище.
  • Оборудовать помещения системами видеонаблюдения и сигнализации при необходимости.

Перечень документов, которые нужно держать в недоступном месте:

  • личные карточки и дела;
  • анкеты, которые соискатель заполняет на собеседовании;
  • копии паспортов;
  • сведения о трудовом стаже и предыдущих местах работы, бумажные трудовые книжки;
  • копии свидетельств о заключении брака, рождении детей;
  • документы воинского учета;
  • справки о доходах и суммах налога с предыдущего места работы;
  • документы об образовании и квалификации;
  • копии СНИЛС;
  • трудовые договоры и доп. соглашения к ним;
  • приказы и их копии;
  • локальные акты, в которых указаны ПД о конкретных работниках.

Шаг 5. Получите согласие работника на обработку персональных данных

Получение и обработка информации, которая стала известна работодателю:

  • при оформлении в штат нового сотрудника из документов — паспорт, трудовая книжка, военный билет, диплом, СНИЛС;
  • из резюме;
  • по результатам обязательного медосмотра,

не требует получения согласия сотрудника.

Однако большинство компаний оформляет его при приеме на работу, чтобы перестраховаться и защитить себя от штрафов. Более того, с 2021 года для раскрытия персданных неопределенному кругу лиц необходим еще один документ — Согласие на распространение ПДн.

К распространению можно причислить, например,

  • опубликование сведений об образовании и опыте работы специалиста на корпоративном сайте;
  • публикацию в журналах и газетах;
  • печать рекламных буклетов с контактами, фото и ФИО сотрудников;
  • печать визиток и т.д.

Штрафы за нарушения в обработке персональных данных

В общем случае, ответственность за нарушение закона № 152-ФЗ установлена в ст. 13.11 КоАП. Санкции за неправильную обработку персданных в последние годы имеют тенденцию к ужесточению, законодатель вводит новые штрафы и правила защиты. Эти изменения направлены на обеспечение надежной конфиденциальности граждан и повышение ответственности юрлиц, которые получают доступ к личной информации.

Так, например, с марта 2023 года уточнен порядок уничтожения персональных данных. Штраф за невыполнение требований для ИП от 20 000 до 40 000 рублей, а для юридического лица от 50 000 до 90 000 рублей.

Законодательство о персональных данных стремительно меняется, и отследить все нововведения довольно сложно даже инхаус-юристам. Получите подробную консультацию у тех, кто в теме. Эксперты «Консалтинг Онлайн» владеют актуальной информацией и имеют живой опыт взаимодействия с Роскомнадзором.

Как не нарваться на штрафы, работая с персональными данными?

Бесплатная памятка для юридических лиц

Забирайте памятку по соблюдению законодательства о персональных данных бесплатно!

Оставьте контакты, вышлем памятку на ваш e-mail:

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8K3jQ1

  • #персональные данные
  • #конфиденциальная информация
  • #защита персональных данных
  • #обработка персональных данных
  • #152-ФЗ
  • #согласие на обработку персональных данных
  • #персональные данные сотрудников
  • #консалтинг онлайн
  • #хранение персональных данных

Опубликовать политику ПД

После разработки документов один из них необходимо опубликовать или обеспечить к нему неограниченный доступ. Речь идёт о политике персональных данных. Это следует из ч. 2 ст. 18.1 Закона 152-ФЗ. Соблюсти требования закона можно следующим образом:

  • опубликовать политику на сайте организации;
  • разместить на информационном стенде в офисе.

Актуальный вопрос: необходимо ли публиковать политику в области обработки персональных данных работников? Такого требования нет в Трудовом кодексе. Кроме того, из п. 8 ст. 86 ТК РФ следует, что работники должны быть ознакомлены с таким документом под подпись, и нигде не указано, что работодатель должен предоставлять к локально-нормативным актам открытый доступ.

Но обработка персональных данных работника регулируется не только Трудовым кодексом. Работодатель является оператором персональных данных. На него возложены соответствующие обязанности. Таким образом, политика также должна быть опубликована на сайте или корпоративном портале. Если у организации нет возможности опубликовать политику на сайте, то документ можно разместить на информационном стенде в офисе, например в отделе кадров.

Обращаем внимание, в случае проверки вы должны подтвердить, что к политике был предоставлен неограниченный доступ. Если политика не опубликована, то возможен штраф по ч. 3 ст. 13.11 КоАП РФ. Для юридических лиц от 30 000 до 60 000 рублей.

Уникальный инструмент «Перспективы и риски арбитражных споров» СПС КонсультантПлюс поможет одержать победу в судебном споре.

Уведомить Роскомнадзор

До начала обработки оператор обязан подать уведомление в Роскомнадзор о своём намерении осуществлять обработку персональных данных. Это следует из ч. 1 ст. 22 Закона 152-ФЗ.

В некоторых случаях законом предусмотрены исключения, среди которых обработка в соответствии с трудовым законодательством.

Обратите внимание, исключение действует только на те данные, которые обрабатываются в соответствии с трудовым законодательством: для исполнения оператором обязанностей как работодателя и для исполнения работником его трудовой функции. Если работодатель собирает и хранит информацию, которая выходит за пределы трудовых отношений, например сведения об имущественном положении, то он должен уведомить Роскомнадзор.

Аналогичное уведомление необходимо направить, если цель обработки выходит за рамки трудового законодательства. Например, в случае если организация передаёт персональные данные в рамках аудиторской проверки. Это связанно с тем, что передача аудиторской организации информации о работниках ООО проводится не в соответствии с трудовым законодательством, а в соответствии с Законом № 307-ФЗ. При этом проводится аудит в обязательном порядке или добровольном, не имеет правового значения.

Если вы сомневаетесь, распространяются ли на вас данные исключения, то рекомендуем подать уведомление. Реестр Роскомнадзора включает уже более 400 000 операторов. Включение в реестр не влечёт возникновения дополнительных обязанностей. В случае, когда вы должны были подать уведомление, но не сделали этого, возможна административная ответственность. Штраф по ст.

19.7 КоАП РФ для юридических лиц ‒ от 3 000 до 5 000 рублей.

Направить уведомление можно на бумажном носителе или в электронной форме.

Если вы подаёте уведомление в бумажной форме, то необходимо придерживаться рекомендаций по заполнению, указанных в п. 3.1 Методических рекомендаций, утверждённых Приказом Роскомнадзора от 30.05.2017 № 94. Сама форма приведена в приложении 1 к указанным рекомендациям.

Если сведения, которые вы подавали, изменились или обработка персональных данных прекращена, то необходимо уведомить Роскомнадзор в течение 10 рабочих дней с даты возникновения изменений или прекращения обработки персональных данных (ч. 7 ст. 22 Закона 152-ФЗ).

Получить согласие на обработку персональных данных

Обрабатывать персональные данные без согласия субъекта нельзя. Это следует из п. 1 ч. 1 ст. 6 Закона 152-ФЗ. Соответственно, перед началом обработки необходимо получить согласие субъекта.

Законодательство допускает включить согласие на обработку персональных данных в трудовой договор, заключаемый по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 № 858). Такую форму вправе использовать микропредприятия и некоммерческие организации, которые соответствуют требованиям, указанным в ст. 309.1 ТК РФ.

В форме прямо предусмотрено соответствующее положение. Типовой трудовой договор заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях рекомендуем получать согласие отдельным документом. Включение такого условия в трудовой договор сопряжено определёнными рисками. Например, суд или контролирующий орган может посчитать, что согласие было дано вынуждено и оно не соответствует требованиям, указанным в ст. 9 закона 152-ФЗ. Кроме того, если работник отзывает согласие на обработку персональных данных, которое включено в трудовой договор, то необходимо оформлять дополнительное соглашение, поскольку изменились условия, отражённые в документе.

Образец согласия на обработку персональных данных работника вы можете найти в справочно-правовой системе КонсультантПлюс.

С помощью СПС КонсультантПлюс вы будете легко ориентироваться в законодательстве, вовремя отслеживать все изменения.

Изменения в правилах обработки персональных данных с 1 сентября 2022 г.

C 1 сентября 2022 г. работодатели обязаны уведомлять Роскомнадзор о начале обработки персональных данных работников, даже если обрабатывают их в целях трудового законодательства. Все работодатели должны проверить, есть ли они в реестре Роскомнадзора.

Организациям, еще не включенным в реестр операторов персональных данных, необходимо направить уведомление об обработке персональных данных. Это можно сделать на сайте Роскомнадзора.

Организациям, кто уже включен в реестр операторов, не позднее 15 сентября 2022 г. рекомендуется уведомить Роскомнадзор о новой цели обработки персональных данных — обработке в рамках трудовых отношений (ст. 22 Закона N 152-ФЗ в редакции, действующей с 01.09.2022). Уведомление нужно подать разово, чтобы данные работодателя попали в реестр. Если данные из уведомления поменяются, нужно подать об этом информационное письмо.

Были изменены требования к содержанию уведомления о необходимости получить персональные данные от третьих лиц. Теперь дополнительно в уведомлении нужно указывать категории персональных данных сотрудника, которые будете запрашивать (п. 2.1 ч. 3 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).

В дальнейшем работодателю также нужно будет сообщать в Роскомнадзор о случаях утечки, либо неправомерной передаче персональных данных сотрудников третьим лицам.

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Конкретный перечень документов, регламентирующих порядок обработки персональных данных работников, законом не установлен. При этом есть обязательный минимум документов, которые должны быть у всех работодателей.

Положение о персональных данных

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. Важно утвердить положение приказом руководителя и ознакомить с ним работников под подпись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).

Форму положения утверждает сама организация. Определите в документе для каждой цели обработки:

  • категории и перечень персональных данных;
  • категории субъектов персональных данных;
  • способы и сроки обработки и хранения данных;
  • порядок уничтожения персональных данных, когда достигли цели их обработки или наступили иные законные основания.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, работодателю достаточно:

  1. обезопасить от неконтролируемого проникновения помещения, в которых размещена информационная система;
  2. обеспечить сохранность носителей персональных данных;
  3. защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  4. издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Политика обработки персональных данных

Если клиенты регистрируются на сайте организации и оставляют свои персональные данные, то в таком случае политика обработки персональных данных становится обязательным документом. Потребуется разработать и опубликовать на сайте организации документ, который определяет политику в отношении защиты и обработки персональных данных.

Организация должна обеспечить доступ через интернет к сведениям о том, какие меры принимает, чтобы защитить персональные данные (ч. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).

В политику обработки персональных данных в том числе включают:

  • основные понятия, которые используют в документе;
  • сведения о цели обработки персональных данных;
  • основания обработки данных;
  • категории обрабатываемых данных и их субъектов;
  • порядок и условия обработки данных;
  • права и обязанности субъектов данных и прочее.

Положение о защите персональных данных

С 1 сентября 2022 г. каждый работодатель обязан разработать и утвердить локальный акт, который определит процедуры по предотвращению, выявлению и устранению последствий нарушения закона о персональных данных.

Меры защиты, которые принимаются, чтобы предотвратить, выявить и устранить нарушения закона о персональных данных, нужно установить в локальном акте организации. Например, в положении о защите персональных данных.

К таким мерам можно отнести, например, установку антивирусных программ или назначение ответственных за защиту персональных данных в компании. Выбор мер защиты зависит от того, каким способом работодатель обрабатывает персональные данные – вручную или через компьютерные программы.

Приказ о назначении ответственного за обработку персональных данных

Работодатель обязан назначить сотрудника, который будет отвечать за обработку персональных данных (ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Чаще всего для этой роли выбирают сотрудника кадровой службы организации. Для этого необходимо издать соответствующий приказ. Скачайте образец приказа.

При этом ответственным за обработку персональных данных в компании может быть только один человек. Будет считаться нарушением назначение ответственным за персональные данные сотрудников кадрового специалиста, а за данные клиентов компании, например, начальника отдела продаж. Организация за такое нарушение будет оштрафована. Информацию об ответственном нужно не забыть подать в реестр Роскомнадзора.

Приказ о назначении ответственного за обработку персональных данных составляется по форме, которую разрабатывает организация и отдается ему на подпись. В приказе необходимо прописать обязанности лица, ответственного за организацию обработки персональных данных:

  • проведение внутреннего контроля за тем, как работодатель и другие сотрудники соблюдают закон о персональных данных, в том числе требования к их защите;
  • доведение до сведения сотрудников организации положения закона о персональных данных, локальных актов по вопросам обработки данных, требований к их защите;
  • организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей, контроль приема и обработки таких обращений и запросов.

В законе предусмотрена возможность работодателя поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести сам работодатель. Лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (ч. 3, 5 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Чтобы ответственный мог выполнять свои обязанности, работодатель обязан передать ему необходимые сведения. К ним относятся:

  • наименование, адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и др.

Обязательство о неразглашении персональных данных

Работодатель должен обеспечить защиту персональных данных сотрудников от их неправомерного использования или утраты. С сотрудниками, которые имеют доступ к персональным данным, нужно оформить обязательство об их неразглашении.

При этом привлечь к ответственности за неразглашение таких данных можно в случае, если они стали известны им в связи с исполнением трудовых обязанностей и работники обязались не разглашать такие сведения (п. 7 ст. 86 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2). Условие о неразглашении закрепляется в дополнительном соглашении к трудовому договору.

Документы внутреннего контроля

При возможной проверке инспекторы могут поинтересоваться, есть ли у организации документы внутреннего контроля. Поэтому нужно заранее озаботиться разработкой документов внутреннего контроля обработки персональных данных. Например, это могут быть протоколы, планы внутреннего аудита, правила внутреннего контроля, а также материалы проверочных мероприятий.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Журналы учета персональных данных

Работодатель обязан соблюдать режим конфиденциальности персональных данных своих сотрудников. Следует ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников. Не лишним также будет вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов, срок пользования, цели выдачи, наименование выдаваемых документов. Лицо, которое возвращает документ, должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Требования к помещению, где хранятся персональные данные

Работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников.

Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям. Представляется, что работодатель может определить особый порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных, требования к оборудованию, определить состав работников, имеющих право доступа в данные помещения.

Риски при нарушении требований к обработке персональных данных работников организации

В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • — на граждан — от 500 до 1 000 руб.;
  • — на должностных лиц — от 4 000 до 5 000 руб.

Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных

За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.

В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):

  • — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
  • — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
  • — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.

Такие же меры предусмотрены ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

При этом если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, то он может быть привлечен к уголовной ответственности по ч. 2 ст. 137 УК РФ, которой предусмотрено лишение свободы на срок до четырех лет.

Доступ к личным делам

Доступ к личным делам работников имеют только сотрудники и руководитель кадровой службы.

Руководитель фирмы своим приказом может разрешить такой доступ руководителям структурных подразделений и другим должностным лицам фирмы. Но они вправе рассчитывать только на ту информацию о работнике, которая необходима им для решения конкретной профессиональной задачи.

Все получающие персональные данные работника должны соблюдать режим конфиденциальности (секретности). Правила доступа к таким сведениям и их передачи определяют в Положении о защите персональных данных работников, которое утверждает руководитель фирмы. Подробно о нем читайте раздел «Учет сотрудников» → подраздел «Как организовать защиту персональных данных сотрудников». Все лица, имеющие доступ к этим данным, должны быть ознакомлены с положением под расписку.

Чтобы ознакомиться с личным делом, внести новые сведения или включить новые документы, нужно получить разрешение начальника отдела кадров или руководителя фирмы.

Работник в отличие от специально уполномоченных лиц имеет свободный и бесплатный доступ к своему личному делу.

Личное дело выдается для ознакомления только до конца рабочего дня и под расписку сотрудника-получателя. При выдаче дела заполняют контрольную карточку. Вот ее образец:

Полная версия этой статьи доступна только платным пользователям бератора

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;
  • или в срок, указанный в постановлении суда;
  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Категория персональных данных

Перечень персональных данных

Разрешаю к распространению (да/нет)

Разрешаю к распространению не-ограниченному кругу лиц (да/нет)

Условия и запреты

Дополнительные условия

Общие персональные данные

Фамилия

Да

Да

Имя

Да

Да

Отчество

Да

Да

Год рождения

Нет

Нет

Месяц рождения

Да

Да

Дата рождения

Да

Да

Место рождения

Да

Нет

Адрес

Нет

Нет

Семейное положение

Да

Нет

Только сотрудникам отдела кадров

Образование

Да

Нет

Профессия

Да

Нет

Специальные категории персональных данных

Состояние здоровья

Да

Нет

Только сотрудникам отдела кадров

Сведения о судимости

Да

Нет

Только сотрудникам отдела кадров

Биометрические персональные данные

Цветное цифровое фотографическое изображение лица

Да

Да

Сведения об информационных ресурсах Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:

Настоящее согласие дано мной добровольно и действует с 01.03.2021 по 31.12.2021.

Оставляю за собой право потребовать прекратить распространять мои персональные данные. В случае получения требования Оператор обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.

«01» марта 2021 г. Иванов Иванов И. И.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:

  • 6 000 – 10 000 руб. для граждан;
  • 20 000 – 40 000 руб. для должностных лиц;
  • 30 000 – 150 000 руб. для организаций.

Если нарушение повторится, штраф составит:

  • 10 000 – 20 000 руб. для граждан;
  • 40 000 – 100 000 руб. для должностных лиц;
  • 300 000 – 500 000 руб. для организаций.

Оцените статью
KDPkonsalting.ru
Добавить комментарий

© 2026 KDPkonsalting.ru