Действующее законодательство строго регламентирует работу с персданными сотрудников. Компания должна определить, какие сведения и для чего она будет обрабатывать. Затем нужно получить согласие работника и запросить у него необходимые документы. Чтобы упорядочить работу с персональными данными сотрудников, разрабатывают специальное положение. Скачать образец положения о работе с персональными данными 2021 можно в этой статье.
Что относится к персональным данным сотрудников
Термин «персональные данные» раскрыт в ТК РФ и Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».
Персональные данные — это:
- информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ч. 1 ст. 85 ТК РФ);
- любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другие сведения (ст. 3 Закона № 152-ФЗ).
Узнать персональную информацию можно только от самого сотрудника. Если персональные сведения по какой-либо причине нужно запросить у третьих лиц, то нужно получить согласие сотрудника в письменном виде. Получая согласие, нужно известить сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения информации;
- источниках данных;
- характере сведений;
- способах получения;
- последствиях отказа от дачи согласия на их получение.
Получив в свое распоряжение персональные сведения работников, их нельзя распространять и раскрывать третьим лицам без согласия самого сотрудника (ст. 7 Закона № 152-ФЗ).
Правила хранения, обработки, использования и защиты персональных сведений работодатель устанавливает самостоятельно. Принятый в компании порядок закрепляется в положении о работе с персональными данными сотрудников 2021. Далее расскажем, как его составить и ввести в действие.
Кому обязательно разрабатывать положение о работе с персональными данными
Положение о работе с персональными данными — локальный нормативный акт, который должен быть у каждого работодателя. Этот документ является обязательным, за его отсутствие ГИТ может наказать по ст. 5. 27 КоАП РФ. Суды в этом вопросе поддерживают инспекторов (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 по делу № А40-20745/06-148-194).
Даже если в компании минимальный штат (к примеру, директор, бухгалтер и секретарь), работодатель обязан иметь локальный нормативный акт, регулирующий порядок обработки, хранения, использования и защиты персональных данных работников. В качестве такого документа может выступать положение о персональных данных.
Кто составляет текст положения о персданных
Работодатель сам решает, кому поручить разработку проекта положения о работе с персональными данными. Обычно этим занимаются специалисты кадровой и юридической служб.
Затем проект согласовывается со структурными подразделениями, участвующими в работе с персональными данными, — бухгалтерией, службой экономической безопасности, специалистом по информационным технологиям и др.
Что включить в положение о работе с персональными данными сотрудников
Количество разделов положения о персональных данных сотрудников, а также их состав и содержание определяет работодатель. В него можно включить несколько разделов:
Общие положения
Укажите здесь:
- цель разработки документа;
- цель обработки персональных данных сотрудников;
- основание для разработки положения: Конституция РФ, ТК РФ, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», другие действующие НПА.
Пропишите порядок утверждения положения и введения его в действие в компании, а также процедуру ознакомления с ним работников.
Основные понятия. Состав персональных данных
В этом разделе расшифруйте формулировки и основные термины, связанные с обработкой и защитой персональных данных в соответствии с действующим законодательством: что такое персональные данные, оператор персональных данных, обработка, распространение, предоставление, блокирование, обезличивание персональных данных и др.
Здесь же перечислите документы, содержащие персональные данные сотрудников: предъявляемые работником при приеме на работу, кадровые приказы и распоряжения работодателя, результаты аттестаций работников и т. д.
Обработка персональных данных сотрудников
Опишите в этом разделе права и обязанности работодателя по получению и обработке персональных данных, порядок оформления работником письменного согласия на обработку его персональных данных, в также порядок обеспечения работодателем защиты персональных данных работника от их неправомерного использования.
Передача персональных данных
Перечислите законодательные требования, которые должен соблюдать работодатель при передаче персональных данных сотрудников (не сообщать персональные данные работника третьей стороне без письменного согласия работника, не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции и т. д.).
Укажите конкретное место в компании, где производится обработка и хранение персональных данных сотрудников (обычно это отдел кадров).
Обозначьте, в какой форме (на бумажных носителях или в электронном виде) персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение.
Доступ к персональным данным сотрудников
Приведите список лиц компании, которым предоставляется право доступа к персональным данным:
- в порядке внутреннего доступа (руководитель, работники бухгалтерии, отдела кадров, секретариата и т. д.);
- в порядке внешнего доступа (налоговая инспекция, правоохранительные органы, ПФР, военкоматы и т. д.).
Перечислите права работников в отношении своих персональных данных: получать к ним доступ, требовать от работодателя исключения или исправления неверных или неполных персональных данных и др.
Защита персональных данных
В этом разделе должны найти отражение:
- порядок оформления письменных запросов других организаций и учреждений в пределах их компетенции и полномочий (в письменном виде на фирменном бланке компании в объеме, позволяющем не разглашать излишний объем персональных данных);
- запрет на передачу информации, содержащей сведения о персональных данных работников по телефону, электронной почте, факсу без письменного согласия работника;
- другие необходимые вопросы (порядок хранения и защиты от несанкционированного доступа личных дел и документов, содержащих персональные данные работников, установление паролей доступа к компьютерам и т. д.).
Ответственность работодателя
В этом разделе опишите виды ответственности лиц, виновных в нарушении положений законодательства РФ в области персональных данных (дисциплинарная, материальная, административная, гражданско-правовая, уголовная) (ст. 90 ТК РФ).
Здесь же укажите обязанность работодателя по возмещению морального вреда, причиненного работнику вследствие нарушения его прав, а также правил обработки персональных данных и несоблюдения требований к защите персональных данных, установленных Законом № 152-ФЗ.
Полезная информация от КонсультантПлюс
Смотрите образец положения о защите персональных данных работников в материалах справочно-правовой системы.
Согласование и введение в действие положения о работе с персональными данными
По общим правилам локальные нормативные акты нужно согласовывать с профсоюзным органом. Если в компании есть профсоюз, лучше так и поступить, хотя гл. 14 ТК РФ «Защита персональных данных работника» таких требований не содержит.
Согласование с профсоюзом проводится в порядке ст. 372 ТК РФ. Порядок согласования предусматривает, что не позднее 5 рабочих дней с момента получения проекта положения профсоюзный орган направляет работодателю письменный документ со своим мотивированным мнением.
Если профсоюз не согласен с проектом и/или высказал предложения по его доработке (изменению), работодателю необходимо учесть его мнение и внести корректировки. Либо в течение 3 дней после получения мотивированных возражений провести дополнительные консультации с профсоюзным органом с целью достижения решения, которое устраивало бы обе стороны.
Если к общему мнению прийти не удалось, разногласия оформляются протоколом, и работодатель вправе своим решением принять локальный акт. У профсоюзного органа есть право обжаловать это решение в трудовой инспекции или суде (ч. 4 ст. 372 ТК РФ).
Для введения в действие положения о работе с персональными данными работодатель издает приказ:
Образец приказа о введении в действие положения о работе с персональными данными Скачать
Как ознакомить работников с положением о персданных
С положением о работе с персональными данными необходимо ознакомить под роспись всех работников (ст. 68, 86 ТК РФ).
Способы фиксации факта ознакомления работников с положением:
- в тексте трудового договора (при приеме на работу перечислите в трудовом договоре локальные акты работодателя, с которыми работник ознакомлен до подписания договора);
- в журнале ознакомления работников с локальными актами компании;
- в листе ознакомления с положением о персональных данных — работник проставляет ФИО, дату ознакомления и личную подпись в этом листе, являющемся приложением к положению.
Образец листа ознакомления с положением о работе с персональными данными:
Лист ознакомления с положением о персданных Скачать
По трудовому законодательству работодатель обязан знакомить работников с локальными актами под роспись. В ситуации рассылки положения по электронной почте и отсутствии личной подписи сотрудника работодатель не сможет доказать факт его ознакомления с положением. За это работодателю грозит наказание по ч. 1, 2 ст. 5.27 КоАП РФ.
Подводим итоги
- Положение о работе с персональными данными сотрудников — локальный нормативный документ, который должен разрабатываться и применяться всеми работодателями.
- Положение должно включать правила хранения, обработки, использования и защиты персональных данных, права и обязанности работников и работодателя в этих вопросах.
- Документ вводится в действие приказом руководителя, с ним нужно ознакомить по роспись всех работников.
- За отсутствие положения о работе с персональными данными и/или за не ознакомление с ним сотрудников работодателя могут наказать по ч. 1, 2 ст. 5.27 КоАП РФ.