Над статьей работали:
Автор: Райс Валентин
Любой работодатель должен очень хорошо позаботиться о защите персональных данных своих сотрудников. Это нужно не только в интересах трудящегося, но и самой организации. Особенно учитывая ужесточение штрафов с 23 декабря 2023 года, нужно всё время следить за актуальностью применяемых норм. Основным документом, регулирующим права работников в данной сфере, является положение о защите персональных данных. Сегодня мы расскажем, что собой представляет такое положение, как его составлять и утверждать, а также какие актуальные сведения должны быть внесены в него 2025 году. Ну и конечно у вас будет возможность скачать образцы документов, с учетом последних изменений законодательства.
Содержание
- Что относится к персональным данным работника
- Обработка персональных данных работника
- Обеспечение защиты персональных данных
- Утверждение положения о персональных данных
- Образец приказа об утверждении положения о защите персональных данных
- Положение о защите персональных данных – 2025
- Образец положения о защите персональных данных работников
- Изменения в законе о персональных данных
Что относится к персональным данным работника
Если исходить из общего определения. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту ПД определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). По общему правилу это могут быть:
— фамилия, имя, отчество;
— пол, возраст;
— место жительства;
— семейное положение;
— финансовое положение;
— деловые и личные качества;
— другие сведения имеющие отношения к конкретному лицу.
Поэтому к персональным данным сотрудника, по сути, относится любая информация о нём, которая есть у работодателя. Работнику в любом случае придется предоставлять ПД, иначе он не сможет устроиться на работу. Но такая информация защищается законом. Это могут быть инициалы (ФИО), паспортные данные, номера телефонов, СНИЛС, сведения об образовании, ИНН, сведения о доходах и так далее. Иными словами это может быть всё, что стало известно работодателю при трудоустройстве и при трудовых отношениях.
При этом стоит отметить, что например наличие только номера телефона само по себе может не являться персональными данными. Это может быть в случае, если есть лишь номер, который нельзя привязать к конкретному субъекту, то есть просто обезличенные цифры. Такой подход встречается в судебной практике. То же самое можно сказать про ИНН, без идентификации личности это лишь набор символов.
Исчерпывающего перечня того, что относится к персональным данным сотрудника, не существует. Каждый случай на практике будет определяться в зависимости от контекста и возможности идентифицировать личность по имеющимся сведениям. Часто персональной является, какая то совокупность данных о конкретной личности. Если речь, конечно, не идет о паспорте, где есть все необходимые сведения с прикрепленной фотографией. Либо другом документе, конкретно определяющем физическое лицо. В таких случаях принадлежность данных к конкретному лицу очевидна и они, разумеется, являются персональными.
Тем не менее, можно всё-таки определить основные виды документов, которые могут содержать личные данные сотрудников:
— трудовой договор;
— анкета при трудоустройстве;
— копия паспорта;
— трудовая книжка;
— копии свидетельств о браке и рождении детей;
— документы воинского учета;
— справка о доходах;
— документы об образовании (квалификации);
— документ, подтверждающий регистрацию в системе персонифицированного учёта (СНИЛС);
— приказы по личному составу.
Также работодатель при приеме сотрудника должен понимать, что он имеет право собирать только ту информацию, которая нужна для трудоустройства. Собирать любые сведения, не имеющие отношения к трудовым, без согласия работника организация не вправе.
Обработка персональных данных работника
Обработкой являются фактически любые действия (несколько действий) с данными, с использованием (без использования) средств автоматизации (п. 3 ст. 3 Федерального Закона от 27.07.2006 N 152-ФЗ). К ним могут относиться:
— сбор;
— запись;
— систематизация;
— накопление;
— хранение;
— уточнение (обновление, изменение);
— извлечение;
— использование;
— передача (распространение, предоставление, доступ);
— обезличивание;
— блокирование;
— удаление;
— уничтожение.
Перечень данных действий не имеет исчерпывающий характер.
Обработка может начаться еще до трудоустройства работника, на этапе подбора, когда вы запрашиваете те или иные сведения. А потом уже когда заключаете трудовой договор и так далее.
По общему правилу для обработки вам потребуется получить согласие на это от сотрудника. Согласие предоставляется в письменном виде (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 Закона о персональных данных).
При этом в некоторых случаях, получать такое согласие не нужно (Разъяснения Роскомнадзора). В частности:
— если обязанность обрабатывать и публиковать данные сотрудников предусмотрена законодательством РФ. Например, медицинские организации обязаны публиковать данные о своих работниках;
— при обработке сведений близких родственников трудящегося осуществляется в объеме не более чем предусмотрено формой N Т-2;
— если обрабатываются специальные категории данных. Это могут быть сведения о здоровье, которые касаются исполнения работником трудовой функции;
— в случае передачи сведений сотрудника третьим лицам, в целях предупреждения угрозы жизни и здоровью работника;
— когда сведения работника используются для осуществления пропускного режима. При условии, что вы самостоятельно осуществляете пропуск на территорию своих служебных зданий и помещений;
Сам порядок обработки, в полной мере регулируется ст. 86 Трудового кодекса и Законом о ПД. Перечислим кратко некоторые основные требования, которые установлены данными нормами:
— обработка должна осуществляться только в соответствии с определенными целями;
— сведения нужно получать именно от сотрудника. Если такой возможности нет, и данные можно узнать только от третьих лиц, получите письменное согласие такого работника;
— трудящихся нужно ознакомить под роспись с локальными актами организации, которые устанавливают порядок обработки персональных данных;
— уведомите Роскомнадзор о намерении обрабатывать данные. Также уведомите данный орган, в случае если произошла неправомерная передача данных сотрудника, и это нарушило его права.
Также подробнее стоит рассказать о том, какие существуют цели обработки персональных данных (п.1 ст. 86 ТК РФ):
— одной из целей является соблюдение установленных законом норм. Это может передача сведений сотрудника в какой-либо государственный орган и так далее;
— содействие в трудоустройстве и получении образования (продвижения по службе);
— в целях безопасности трудящегося, контроля над выполняемой работой;
— обеспечение сохранности и имущества.
Сведения запрашивайте лично у работника. Если это невозможно, то при надлежащем уведомлении сотрудника и получении от него согласия, данные можно запросить у третьих лиц. В уведомление в таком случае включите следующую информацию:
— цель получения данных у других лиц;
— субъектов, у которых предполагаемо, будет запрашиваться информация;
— способы получения и характер данных;
— последствия отказа сотрудника от дачи согласия.
В согласии рекомендуется указывать такие данные:
— инициалы, адрес сотрудника, паспортные данные;
— наименование и адрес работодателя;
— перечень запрашиваемых сведений;
— срок, на который дается согласие сотрудника.
Законодательство не устанавливает какого-либо точного перечня документов, которые нужно утвердить в организации при обработке персональных данных. Поэтому вы сами определяете, какими документами вы будете регулировать данный порядок. Обычно создается локальный акт описывающий политику в отношении обработки ПД. Также на практике чаще всего используется положение о персональных данных.
Содержание политики обработки персональных данных вы также устанавливаете сами. Однако лучше всё-таки использовать в составлении такого документа Рекомендации, которые издал Роскомнадзор.
В документе нужно указать:
— цель сбора;
— правовые основания обработки;
— объем и категорию данных;
— порядок и условия обработки.
Опубликуйте политику обработки. Или предоставьте неограниченный доступ к документу иным способом.
С регламентирующими документами сотрудников нужно будет ознакомить под подпись. Документ для ознакомления может быть составлен в свободной форме.
Также не стоит забывать, что оператор (работодатель) несет определенные риски при ненадлежащей обработке ПД. В частности санкции предусмотрены следующие:
- Административная ответственность: ч. 1, 2 ст. 5.27 КоАП РФ. Для юр. лиц по этим пунктам ответственность может составить от 30 до 70 тысяч; ст.13.11 КоАП РФ. Ответственность для организаций может составлять от 60 тысяч до нескольких миллионов (если есть повторное нарушение).
- Уголовная ответственность. Виновный работник может быть привлечен по ч.2 ст.137 УК РФ. Это может быть как штраф от 100 до 300 тысяч рублей, так и лишение свободы на срок до 4 лет с лишением права занимать определенные должности. Также иные наказания в виде принудительных работ и лишением возможности заниматься определенной деятельностью.
Помимо указанных видов наказаний существуют также дисциплинарная, материальная и гражданско-правовая ответственность.
Относительно положения о персональных данных, мы остановимся чуть позже, более подробно.
Обеспечение защиты персональных данных
Для адекватной защиты ПД необходимо предпринять ряд мер, расскажем кратко, что именно нужно сделать.
1.Подготовьте необходимые документы для защиты данных. В частности нужно сделать:
— приказ о назначении ответственного за обработку;
— положение о защите персональных данных (иной аналогичный локальный акт);
— приказ об утверждении перечня лиц имеющих доступ к ПД;
— иные документы на ваше усмотрение (это может быть журнал учета персональных данных и другие документы).
2.Организуйте защиту ПД в зависимости от того бумажные ли это данные или электронные.
1) Если бумажные. Конкретные требования к защите этих данных не урегулированы законом. При этом учитывая необходимость соблюдения правовых, организационных и технических мер, нужно предпринять следующие действия:
— храните данные в специально оборудованных для этого помещениях;
— утвердите перечень лиц имеющих доступ в данное помещение;
— установите сигнализацию, двери, решетки.
2) Если сведения электронные. В таком случае целесообразней привлечь специальную компанию или ИП имеющие лицензию на осуществление деятельности по защите. Это связано с тем, что защита электронных данных достаточно специфичная и сложная отрасль, которая предусматривает наличие специальных знаний. По общему же правилу применяются следующие меры:
— определите тип угрозы ПД;
— выберите уровень защищенности персональных данных, в зависимости от того какой у вас тип угрозы;
— после этого определите, что именно необходимо сделать.
При минимальном уровне защищенности от вас потребуется обеспечить контроль в помещение, прописать перечень людей имеющих доступ, позаботиться о защищенности носителей данных. Для каждого уровня предусмотрены свои меры.
Помимо этого не забывайте уведомлять Роскомнадзор, если произошла неправомерная передача данных, которая привела к нарушению прав работника.
С первого марта 2023 года при утечке персональных данных оператору необходимо придерживаться порядка взаимодействия с Роскомнадзором, установленного Приказом ведомства от 14.11.2022 № 187.
Для учета информации об утечке персональных данных Роскомнадзор ведет специальный реестр, определяет порядок и условия взаимодействия с операторами в рамках его ведения (ч. 10 ст. 23 закона № 152-ФЗ, Приказ Роскомнадзора от 14.11.2022 № 187).
При выявлении неправомерной или случайной передачи личных сведений граждан, которая повлекла нарушение их прав, оператор обязан в течение 24 часов направить в Роскомнадзор первичное уведомление. В нем необходимо сообщить (п. 1 ч. 3.1 ст. 21 закона № 152-ФЗ, п. 2 порядка, утвержденного Приказом Роскомнадзора от 14.11.2022 № 187):
• о произошедшем инциденте, в частности, о содержании базы данных, ставшей доступной неограниченному кругу лиц;
• предполагаемых причинах инцидента;
• предполагаемом вреде, нанесенном правам субъектов персональных данных;
• принятых мерах по устранению последствий;
• лице, которое уполномочено взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
Помимо этого, в Роскомнадзор следует представить и другие сведения и материалы, связанные с инцидентом (пп. 2.2, 2.3 порядка № 187).
В течение 72 часов с момента выявления инцидента оператор должен направить в Роскомнадзор дополнительное уведомление. В нем необходимо сообщить о результатах внутреннего расследования инцидента, в частности, предоставить информацию:
• о причинах инцидента;
• нанесенном вреде;
• дополнительно принятых мерах по устранению последствий инцидента;
• решении о проведении внутреннего расследования (с реквизитами);
• лицах, действия которых стали причиной утечки данных (при их наличии).
При нарушении установленного срока Роскомнадзор вправе направить требование о необходимости предоставить соответствующие сведения. Для ответа у оператора есть один рабочий день со дня получения требования (пп. 12, 13 порядка № 187).
Уведомления можно направить в виде бумажного или электронного документа. Во втором случае заполняется специальная форма, размещенная на портале персональных данных Роскомнадзора. Для этого необходимо пройти идентификацию и аутентификацию в ЕСИА. Заполненную форму нужно подписать электронной подписью (пп. 5, 7 порядка № 187).
Если представленная информация окажется неполной или некорректной, Роскомнадзор в течение трех рабочих дней со дня получения уведомления может затребовать недостающие сведения или пояснения. Срок их представления — три рабочих дня со дня получения запроса (пп. 10, 11 порядка № 187).
Утверждение положения о персональных данных
Положение о персональных данных регулирует вопросы обработки таких данных в организации и иные действия в отношении указанных сведений. В документе для каждой цели обработки нужно указывать категории и перечень обрабатываемых данных, а также способы, сроки обработки и так далее.
Обязанность принять данный локальный акт или аналогичный ему, предусмотрена ст. 87 Трудового кодекса. В ней сказано, что порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
О том, как составить само положение и что в него включить мы поговорим немного позже. После того как положение разработано, нужно совершить следующие действия.
Для того чтобы закрепить данное положение, работодателю необходимо издать и утвердить соответствующий приказ, который должен быть подписан директором (иным уполномоченным лицом). Указывается должность руководителя, его подпись и расшифровка.
Приказ составляется в произвольной форме. Законодательство не устанавливает, как такой документ должен выглядеть. Однако вы можете использовать регламент оформления приказов предусмотренный ГОСТ Р 7.0.97-2016 (утв. Приказом Росстандарта от 08.12.2016 N 2004-ст). При составлении документов с применением данного стандарта, вы можете дополнительно использовать Методические рекомендации, которые специально для него разработаны. Применять данные рекомендации или нет, вы решаете сами. Дополнительные требования к оформлению приказов, могут быть также установлены в локальных актах вашей компании.
Приказ издается до введения в действие самого положения. Рекомендуется составлять его на фирменном бланке организации. В документе нужно указать:
— наименование организации;
— логотип, товарный знак;
— наименование документа, в данном случае приказ;
— реквизиты приказа (номер, дата);
— место составления;
— наименование приказа, в данном случае «Об утверждении положения о защите персональных данных работников»;
— основания приказа. То есть во исполнение, каких норм закон он создается.
Помимо этого в тексте приказа нужно закрепить следующие сведения:
— распорядитесь об утверждении положения. При этом текст положения должен являться приложением к самому приказу. А в таком приложении нужно указать реквизиты приказа. Также укажите дату ввода в действие положения.
— назначьте ответственных за ознакомление сотрудников с положением и за соблюдение требований этого документа. Укажите сроки ознакомления;
— укажите данные человека, который будет контролировать исполнение приказа. Это может быть как директор, так и другое назначенное им лицо;
— можете также указать информацию о лицах, с которыми согласован приказ.
После утверждения приказа проставьте его порядковый номер в журнале по регистрации распоряжений.
Не забудьте также учесть мнение профсоюза, если у вас имеется представительный орган работников (ст. 372 ТК РФ). Для этого направьте проект в соответствующий орган и дождитесь мотивированного мнения. В случае несогласия с мнением проведите дополнительные консультации. Если согласие и после этого не достигнуто оформите протокол разногласий. После этого можете принять ЛНА без согласия. Однако учтите, что такое решение может быть оспорено профсоюзным органом в трудовой инспекции или суде.
Далее ознакомьте работников с новым локальным актом под подпись. Этого требуют ст. ст. 68, 86 ТК РФ. Это можно сделать путем указания условий о таком ознакомлении в трудовом договоре. Для этого, как правило, указываются перечень документов, с которыми работник ознакомлен до подписания трудового договора. Также это можно сделать в самом Положении, на листе ознакомления с ним. Это может быть и иной способ (как вариант журнал ознакомления с ЛНА), главное чтобы было зафиксировано, что сотрудник ознакомлен с локальным актом.
Также рекомендуется отдельно составлять согласие на обработку персональных данных от каждого работника.
Документы об обработке персональных данных хранятся не менее десяти лет.
Образец приказа об утверждении положения о защите персональных данных
Ознакомиться с образцом приказа с учетом действующих изменений законодательства на 2024 год, вы можете по ссылке расположенной ниже.
Форма Приказ об утверждении положения о персональных данных
Положение о защите персональных данных – 2024
Положение о защите также разрабатывается в произвольной форме. Законодательство не устанавливает обязательного к применению образца. С данным локальным актом нужно ознакомить под подпись работников, чья деятельность связана с ним.
Такой документ может иметь следующее содержание (п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ):
— основные положения.
Вступление в силу документа, внесение в него изменений и так далее. Также можно указать, с какой целью создано данное положение, как правило, с целью исполнения законодательства в рамках трудовых отношений;
— категории субъектов ПД.
Имеется в виду лица, чьи данные планируется обрабатывать. В данном случае работники. Также это могут соискатели работы, члены их семей, бывшие сотрудники, другие лица, обрабатывать данные которых обязывает закон;
— цели обработки ПД, категории и перечни обрабатываемых ПД (то есть данные, которые будут обрабатываться для достижения цели).
Соответственно в данном разделе нужно указать сведения подлежащие обработке (это могут быть ФИО, ИНН, СНИЛС, номер телефона, профессия, сведения об образовании и прочее). Перечень может быть отрытым, для этого стоит добавить в него пункт «иные сведения, связанные с проф. деятельностью работника». Также в этом разделе можно указать, какие документы создает и хранит работодатель (трудовой договор, копии документов об образовании, воинском учете, личные карточки, приказы и так далее). Ну и конечно необходимо прописать какие цели (передача сведений кредитным организациям, компаниям проводящим обучение, страховым фирмам и прочее);
— порядок и условия обработки ПД, ответственные лица.
Это может быть указание способов обработки данных. То есть, как правило, это любое действие, совершаемое с данными (сбор, запись, систематизация, накопление, хранение и другие действия). Укажите, что данные обрабатываются с письменного согласия субъекта (за исключением установленных законом случаев). Обработка может осуществляться в письменном и электронном виде. При обработке должны быть соблюдены все требования установленные законом.
Также разъясняется, каким образом назначается ответственное лицо, в частности приказом директора. Прописывается порядок доступа к ПД других работников. Такой доступ предоставляется только в пределах, необходимых для выполнения такими работниками своих обязанностей. Помимо этого нужно указать, чем занимается ответственное лицо (контролирует соблюдение мер по защиты ПД, хранит, обновляет, изменяет данные, уничтожает и обезличивает данные после достижения целей обработки и так далее). Установите правило, что работники должны соблюдать режим конфиденциальности (за исключением случаев установленных законом), а также подписать обязательство о неразглашении сведений.
— сроки обработки и хранения.
Можно пояснить, что сведения хранятся в течение срока установленного законодательством РФ. Если такой срок не установлен законом, то его определяет приказ руководителя. После окончания срока данные нужно уничтожить. Также можно включить, что документы на бумажных носителях хранятся в специальных шкафах с замком. Доступ же к электронным данным может быть только по паролю;
— передача персональных данных.
Нужно указать, что передача также осуществляется с письменного согласия, за исключением предусмотренных законом случаев. Данные о здоровье можно передавать, только если они касаются возможности выполнения трудовой функции сотрудником;
— правила блокирования и уничтожения данных.
Можно прописать, что ответственный сотрудник раз в какой-либо период отбирает данные подлежащие уничтожению. Сам факт уничтожения производится комиссией созданной по приказу руководителя. После этого составляется соответствующий документ (акт). И прописать порядок непосредственного уничтожения бумажных и электронных документов (удаление с носителя и так далее);
— защита ПД.
В частности прописать, каким образом предотвращаются и выявляются нарушения. И какие меры применяются для устранения последствий, если нарушение произошло. Указывается порядок осуществления контроля за соблюдением законодательства в данной области;
— последствия за нарушение норм закона в отношении защиты ПД.
В данном случае можно просто написать, что виновники будут нести ответственность в соответствии с действующим законодательством РФ.
Дополнительно в положении можно указать, что сотрудники должны своевременно уведомлять работодателя об изменении своих данных, и установить в какой срок. Если этого не сделать работодатель может нести риски связанные с законным исполнением своих обязанностей. Так как используемые персональные сведения могут быть недостоверными. В зависимости от того какие данные поменялись, может потребоваться внести изменения:
— во все кадровые документы;
— в трудовой договор;
— в трудовую книжку.
Проще говоря, в положении о ПД устанавливается весь порядок работы с персональными данными, указываются лица, которые имеют доступ к личным сведениям, а также правила хранения документов и способы их защиты.
При этом стоит отметить, что законодательство не обязывает иметь именно положение о защите персональных данных. При этом оно обязывает иметь локальный нормативный акт по вопросам обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Поэтому вы вправе разработать другой документ регулирующий данные вопросы.
Образец положения о защите персональных данных работников
Посмотреть образец положения с учетом действующих норм закона вы можете, ниже перейдя по ссылке.
Форма Положение об обработке и защите персональных данных
Изменения в законе о персональных данных
За последнее время был внесен ряд изменений относительно работы с ПД. Подробнее о них читайте в наших статьях:
Изменения в работе с персональными данными с марта 2023 года
Уничтожение персональных данных с первого марта 2023 года
Ужесточены с 23 декабря штрафы за обработку персональных данных без согласия
Новое согласие на обработку персональных данных — 2024
Вы можете оставить первый комментарий