Документ устанавливающий порядок обработки персональных данных

Защита персональных данных сотрудников компании

Документ устанавливающий порядок обработки персональных данных

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

В контексте трудовых отношений персональные данные – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).

В соответствии со ст.3 Федерального закона №152-Ф3 “О защите персональных данных”, к персональным данным относятся:

    фамилия, имя, отчество;год, месяц, дата и место рождения;адрес;семейное, социальное, имущественное положение;образование;профессия;доходы;другая информация.

Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.

Документы, устанавливающие порядок обработки персональных данных сотрудников

Эти документы – новшество ТК РФ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то ст.90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два:

    Положение о защите персональных данных сотрудников (утверждается и вводится в действие приказом руководителя организации).Обязательство о неразглашении персональных данных сотрудников (подписывается теми, кто имеет доступ к таким данным: сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).

Проверив наличие документов по защите персональных данных сотрудников компании, государственный инспектор по труду поинтересуется, как в организации собираются данные о сотрудниках (насколько законно).

По общему правилу всю информацию о сотруднике можно узнать только у него самого.

Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении о нем каких-то оценочных данных, необходимо получить письменное согласие сотрудника.

В связи с этим кадровики идут на хитрость. При поступлении на работу соискатель заполняет анкету, содержащую пункт следующего содержания: “Не возражаю против получения данных обо мне в…

, а затем сам вписывает те организации, в которые работодатель может обратиться за получением сведений о нем.

Иногда в анкете указывается отдельной строчкой: “Не возражаю против проверки представленных данных”.

Будьте очень осторожны, если у вас спрашивают персональные сведения о сотруднике, который когда-то у вас работал. Уже имеются случаи, когда сотрудники подают в суд за разглашение их персональных данных.

Ни в коем случае нельзя давать подобную информацию по телефону.

Обязательно попросите заявление о передаче данных о сотруднике от самого сотрудника или запрос от работодателя с приложением письменного согласия сотрудника.

Если персональные данные о работающем требуют сотрудники милиции или других контролирующих организаций, попросите письменный запрос, а если они пришли к вам лично – служебное удостоверение и приказ, где указаны цели сбора подобной информации.

ТК РФ требует знакомить работников под расписку с документами организации, устанавливающими порядок обработки персональных данных сотрудников компании. Кто разрабатывает эти документы и как они должны называться?

С вступлением в силу ТК РФ перед работниками кадровых служб была поставлена задача защиты персональных данных сотрудников компании от неправомерного их использования или утраты (гл.14 ТК РФ).

Порядок хранения и использования персональных данных сотрудников в организации устанавливается работодателем (ст.87 ТК РФ).

Передача персональных данных сотрудников в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом организации, с которым сотрудник компании должен быть ознакомлен под расписку (ст.88 ТК РФ).

Локальный нормативный акт, связанный с проблемой сбора, обработки, передачи, хранения и защиты от несанкционированного доступа персональных данных сотрудника, разрабатывается кадровой службой организации в виде положения, инструкции, правил или в какой-либо другой форме.

Круг лиц, участвующих в согласовании, устанавливается по усмотрению организации.

Как и все документы этой группы, положение (инструкция, правила) должно быть подписано разработчиком (руководителем кадровой службы) и утверждено работодателем. Работодатель может утвердить документ лично, расписавшись в грифе утверждения, или издать приказ, об утверждении данного документа и вводе его в действие.

Наряду с названным локальным нормативным актом следует разработать форму обязательства о неразглашении персональных данных сотрудника компании, т.к. лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности), о чем прямо сказано в ст.88 ТК РФ.

Инструкция по правилам обработки, хранения и передачи персональных данных работника (один из вариантов)

I. Общие положения.

Нормативной базой, регламентирующей положения настоящей Инструкции, является ст.24 Конституции РФ, гл.14 Трудового кодекса РФ, ст.137 Уголовного кодекса РФ.

II. К персональным данным сотрудника компании, необходимым работодателю в связи с трудовыми отношениями, относятся:

    сведения об образовании;сведения о предыдущем месте работы, опыте работы и занимаемой должности;сведения о составе семьи и наличии иждивенцев;сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);сведения об отношении к воинской обязанности.

III. Порядок обработки персональных данных сотрудника компании.

1. При обработке персональных данных сотрудника компании, т.е. их получении, хранении, комбинировании, передаче или любом другом использовании, сотрудники отдела кадров обязаны соблюдать следующие общие требования:

    1.1. Обрабатывать персональные данные сотрудника компании исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.1.2. Все персональные данные сотрудника компании следует получать у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.1.3. Сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом.1.4. Персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей Инструкции, а также контроль за ее соблюдением возложен на Начальника отдела кадров (Ф.И.О.).1.5. Все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.

IV. Хранение персональных данных сотрудников компании.

Хранение документов, содержащих персональные данные работающих, осуществляется в несгораемых шкафах (сейфах), ключи от которых находятся у Начальника отдела кадров, а в его отсутствие у лица его замещающего. Другие сотрудники отдела кадров могут использовать данные документы только с разрешения вышеназванных лиц.

V. Передача персональных данных сотрудников компании.

1. При передаче персональных данных работающего сотрудник отдела кадров должен соблюдать следующие требования:

    1.1. Не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работающего, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника.1.2. При передаче персональных данных работников предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.1.3. Сотруднику отдела кадров разрешается доступ только к тем персональным данным сотрудников, которые необходимы для выполнения им его должностных обязанностей.1.4. Сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

VI. Ответственность.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника компании, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. HR Весна (22.07.2011 в 13:32) | вверх страницы | к списку статей

Источник: http://www.uipdp.com/articles/2011-07/15.html

Документы, регламентирующие обработку персональных данных | Какие документы регламентируют обработку и защиту ПДн в РФ

Документ устанавливающий порядок обработки персональных данных

Документы, регламентирующие обработку персональных данных, принимаются на уровне государства и его органов и на уровне организаций, признаваемых в установленном законом порядке операторами персональных данных. Выполнение содержащихся в них требований проверяется Роскомнадзором и другими уполномоченными органами.

Нормативно-правовые документы

Российское законодательство признает приоритет норм международного права над национальным, в случае если страной ратифицированы международные документы, регламентирующие определенную сферу.

Это могут быть соглашения или конвенции. В области обработки персональных данных таких наднациональных норм нет.

Внутреннее законодательство может соответствовать международному, тем не менее первенство в выборе способов обработки персональных данных остается за ним.

https://www.youtube.com/watch?v=LlhpmO1-QYs

Основным документом, определяющим правила обработки данных, является Федеральный закон «О персональных данных». Также определенные нормы, содержащие правила обработки данных работников, есть в Трудовом кодексе РФ.

Вопросы защиты данных, предоставляемых лицами, получившими услуги медицинских учреждений, частично регламентируются нормами закона «Об охране здоровья граждан».

Для государственных служащих актуальными являются нормы Постановления Правительства Российской Федерации № 211.

Нормы технической защиты информационных систем персональных данных и условия их обработки следует искать в Постановлении Правительства № 1119. Оно определяет степень защищенности систем, в которых происходит обработка данных.

Больше технических регламентов надо искать в нормативных актах ФСТЭК России и ФСБ РФ. Интересно, что с момента появления в российском правовом поле понятия обработки ПД было принято более 3 000 различных актов, включая письма и разъяснения, регламентирующие эти вопросы.

Большая часть из них принимается в отношении региональных исполнительных органов.

Документы муниципальных и государственных органов

Исходя из норм Постановления Правительства РФ № 211, государственный или муниципальный орган обязан разработать и утвердить собственный перечень стандартов, регламентирующих правила обработки персональных данных.

Это следующие документы:

  • Правила обработки. Они определяют процедуры, направленные на выявление нарушений закона в этой сфере, категории субъектов, правила обработки, хранения и уничтожения данных;
  • Правила рассмотрения запросов, направляемых субъектами данных;
  • Правила работы с обезличенной информацией;
  • Перечень имеющихся в распоряжении государственного или муниципального органа информационных систем;
  • Перечень сведений, обработка которых происходит исходя из требований кадрового документооборота и выполнения обязанностей по оказанию государственных услуг;
  • Перечень должностей ответственных госслужащих;
  • Должностной регламент ответственного лица;
  • Типовое обязательство о неразглашении ПД;
  • Формы согласия и разъяснения последствий отказа от предоставления сведений для обработки;
  • Порядок доступа к информации.

Основные документы обязательно публикуются на сайте органа. Контроль над их существованием, содержанием и выполнением производится и в рамках государственной исполнительной вертикали, и уполномоченными органами.

Документы организации

На уровне компании в рамках реализации норм законодательства, определяющего правила обработки персональных данных, разрабатывается собственный пакет документов.

Обычно это Положение об условиях обработки, приказы о назначении лица, ответственного за организацию этой работы, и форма согласия на обработку.

Иногда перечень расширяется, если за образец принимается система, действующая для государственных организаций.

Положение

Оно является основополагающим документом, определяющим права и обязанности организации и субъекта персональных данных в области их обработки и защиты информации.

Положение определяет все допустимые для компании способы обработки сведений, ее цель, права субъекта на информирование о порядке обработки, право на отзыв согласия и другие нормы.

Здесь же могут быть перечислены имеющиеся угрозы безопасности, также освещаемые в модели угроз, являющейся документом, обязательным для технических служб. Утверждение положения происходит на уровне руководства компании.

Приказ

Приказ является первичным документом, определяющим сотрудника компании, на которого возложена обязанность по обеспечению практики обработки данных нормативных документов.

Назначение такого лица является обязательным для разграничения сфер ответственности.

Крупные компании, которые иногда создают подразделения, чья деятельность посвящена вопросам обеспечения безопасности персональных данных, готовят также положение о департаменте или управлении.

Согласие

Каждый человек, предоставляющий данные на обработку операторам, подписывает свое согласие на осуществление организацией этой деятельности. В согласии указываются способы и цели обработки. Форма его может быть разработана самостоятельно, можно воспользоваться форматами, рекомендованными для государственных органов или разработанными крупными корпорациями.

Отказ от выполнения требований документов, регламентирующих обработку персональных данных, как госорганами, так и частными компаниями приводит к административным штрафам и другим неблагоприятным последствиям. Непринятие на уровне фирмы собственного положения также станет основанием для вынесения предписания в ходе проверки.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/dokumenty-reglamentiruyuschie-obrabotku-personalnykh-dannykh/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.