Как правильно организовать работу с персональными данными?

4667

Вопрос

Как правильно организовать работу с персональными данными работников организации?

Ответ

Фактически любое действие работодателя по отношению к работнику производится с использованием его, работника, персональных данных. Секретарь заказывает билеты и гостиницу при оформлении командировки, бухгалтер начисляет заработную плату и премии, а начальник звонит на мобильный телефон.

Все перечисленные действия требуют знания определенной информации о работнике, а закон называет это «обработкой персональных данных».


Важную информацию о конфиденциальном делопроизводстве вы найдете в материале здесь.


Персональные данные и их обработка

Правовая база к вопросу о персональных данных включает в себя следующие документы:

  • Трудовой кодекс РФ;
  •  Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»).

Итак, согласно Закону «О персональных данных», персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, к персональным данным относятся имя и фамилия, номера мобильных телефонов и паспортные данные, а также множество другой информации, без которой невозможно вести трудовые отношения с человеком.

Персональные данные работников являются конфиденциальной информацией. На практике это означает, что доступ к ним должен быть строго ограничен, а те люди, которые все же имеют право работать с персональной информацией, должны выполнять все действия с ней только с согласия ее «хозяина».

Согласно ст. 3 Закона  «О персональных данных», обработка  персональных данных включает в себя:

«любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Организация работы с персональными данными в компании предполагает следующие действия:

  1. Приказом по основной деятельности назначить лицо (лиц), ответственное за организацию обработки персональных данных. При необходимости – обучить его новым обязанностям и их правовой основе.
  2. Утвердить локальный нормативный акт, регламентирующий процессы получения и обработки персональных данных (например, Положение о персональных данных), и ознакомить с ним всех сотрудников организации под подпись.
  3. Получить от всех лиц, чьи персональные данные компания обрабатывает, письменное согласие на обработку.

В дальнейшем деятельность по обработке персональных данных будет строиться по принятому регламенту.

Назначение ответственных лиц 

Лица, ответственные за обработку персональных данных работников организации, назначаются путем издания обыкновенного приказа по основной деятельности. Всех «героев» этого приказа следует ознакомить с ним под роспись. Приведем пример подобного приказа:

Общество с ограниченной ответственностью «Сентябрь»

(ООО «Сентябрь»)

ПРИКАЗ

20.08.2015                                                                                                № 453-ОД

Москва

Об установлении списка лиц,

имеющих доступ к персональным данным

работников ООО «Сентябрь»

В исполнение требований ст. 88 Трудового кодекса Российской Федерации

ПРИКАЗЫВАЮ:

  1. Установить следующий список работников ООО «Сентябрь», имеющих доступ к персональным данным работников ООО «Сентябрь»:

Бурова А.В. – генеральный директор;

Иванова Н.Р. – секретарь;

Полянская Д.В. – главный бухгалтер;

Рощин Г.Ю. – заместитель генерального директора по производству (доступ к персональным данным только работников производственного отдела).

  1. Контроль исполнения настоящего приказа оставляю за собой.

Генеральный директор                              Бурова                                             А.В. Бурова

С приказом ознакомлены:

Секретарь                                                 Иванова                                             Н.Р. Иванова

                                                                 20.08.2015

Главный бухгалтер                                 Полянская                                          Д.В. Полянская

                                                                 20.08.2015

Заместитель генерального

директора по производству                   Рощин                                                 Г.Ю. Рощин

                                                                20.08.2015

В дело № 01-05

Иванова 20.08.2014

За неправомерный сбор и разглашение чужих персональных данных законодатель предусматривает ответственность вплоть до уголовной. Работодателю настоятельно рекомендуется подстраховать себя и собрать со всех работников, которым предоставлен доступ к чужой личной информации, обязательство о ее неразглашении. Только при наличии такого письменного обязательства в случае утечки данных можно будет наказать виновных. В противном случае всю ответственность понесут предприятие и лично его руководитель.

Образец обязательства о неразглашении:

ОБЯЗАТЕЛЬСТВО

о неразглашении персональных данных

Я, Полянская Дарья Валентиновна, обязуюсь не разглашать персональные данные работников ООО «Сентябрь», ставшие известными мне вследствие исполнения должностных обязанностей.

Полянская Д.В. Полянская

20.08.2015

В дело № 02-05

Иванова 20.08.2015

Положение о персональных данных 

Положение о персональных данных относится к документам, которые обязательно должны быть в организации наряду со штатным расписанием, графиком отпусков и пр. Положение готовится по общим правилам разработки этого вида организационно-правовых документов и утверждается руководителем организации.

Приведем образец положения о персональных данных:

Общество с ограниченной ответственностью

«Сентябрь»

(ООО «Сентябрь»)

ПОЛОЖЕНИЕ

28.08.20152

Москва

о персональных данных работников

  УТВЕРЖДАЮ

Генеральный директор

  ООО «Сентябрь»

  Бурова  А.В. Бурова

  28.08.2015

1. Общие положения

  1. Настоящим Положением определяется порядок обращения с персональными данными работников ООО «Сентябрь» (далее – Общество).
  2. Цель настоящего Положения – упорядочение обращения с персональными данными работников Общества, а именно соблюдение законных прав и интересов Общества и его работников при получении, систематизации, хранении и передаче сведений, составляющих персональные данные.
  3. Персональные данные работника – любая информация, относящаяся к конкретному работнику и необходимая Обществу в связи с трудовыми отношениями.
  4. Сведения о персональных данных относятся к категории конфиденциальных и составляют охраняемую законом тайну Общества. Режим конфиденциальности в отношении персональных данных снимается:
  •  в случае их обезличивания;
  •  по истечении 75 лет срока их хранения;
  •  в других случаях, предусмотренных федеральным законодательством Российской Федерации.

  1. Термины и основные понятия

  1. В настоящем Положении используются следующие основные термины и понятия:
  •  персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
  •  обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  •  распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
  •  предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
  •  блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
  •  уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
  •  обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.

  1. Состав персональных данных работников

  1. При заключении трудового договора лицо, поступающее на работу, предъявляет:
  •  паспорт или иной документ, удостоверяющий личность;
  •  трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
  •  страховое свидетельство государственного пенсионного страхования;
  •  документы воинского учета – для лиц, подлежащих воинскому учету;
  •  документ об образовании и (или) квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
  •  свидетельство о присвоении ИНН (при его наличии у работника).
    1. При оформлении работника секретарь заполняет личную карточку работника, в которой отражает следующие данные:
  •  общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
  •  сведения о воинском учете;
  •  данные о приеме на работу;
  •  сведения об аттестации;
  •  сведения о повышении квалификации;
  •  сведения о профессиональной переподготовке;
  •  сведения о наградах (поощрениях), почетных званиях;
  •  сведения об отпусках;
  •  сведения о социальных гарантиях;
  •  сведения о месте жительства;
  •  контактный телефон.
    1. У секретаря Общества создаются и хранятся следующие документы, содержащие персональные данные работников:
  •  документы, сопровождающие процессы оформления трудовых отношений с работниками (прием, перевод, увольнение);
  •  материалы по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
  •  подлинники и копии приказов по личному составу и основания к ним;
  •  трудовые книжки работников;
  •  дела, содержащие материалы аттестаций работников;
  •  дела, содержащие материалы внутренних расследований;
  •  экземпляры и копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
  •  положения о структурных подразделениях;
  •  должностные инструкции работников;
  •  документы планирования, учета, анализа и отчетности по вопросам кадровой работы.

  1. Обработка персональных данных работников

  1. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
  2. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.

4.3. Обработка персональных данных работников работодателем без их согласия возможна исключительно в следующих случаях:

  •  персональные данные являются общедоступными;
  •  персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
  •  по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законодательством Российской Федерации.
    1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья (за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции), интимной жизни.
    2. Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
    3. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

5. Передача персональных данных

5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  •  не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством Российской Федерации;
  •  не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  •  предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.

5.2. Персональные данные работников обрабатываются и хранятся у секретаря Общества.

5.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

  •  наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  •  цель обработки персональных данных и ее правовое основание;
  •  предполагаемые пользователи персональных данных;
  •  установленные федеральными законами права субъекта персональных данных.

6. Доступ к персональным данным работников

6.1. Право доступа к персональным данным работников имеют:

  •  руководитель Общества;
  •  секретарь
  •  главный бухгалтер;
  •  руководители структурных подразделений по направлению деятельности (относительно только работников своего подразделения).

6.2. Работник Общества имеет право:

6.2.1. Получать доступ к своим персональным данным и осуществлять ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.

6.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.

6.2.3. Получать от работодателя:

  •  сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  •  перечень обрабатываемых персональных данных и источник их получения;
  •  сроки обработки персональных данных, в том числе сроки их хранения;
  •  сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

6.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.

7. Ответственность за нарушение норм,

регулирующих обработку персональных данных

7.1. Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.2. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

С положением ознакомлены:

(Личные подписи всех работников предприятия с расшифровкой и указанием даты ознакомления)

В дело № 02-01

Иванова 01.09.2015

Согласие работников 

Обработка персональных данных может производиться только с согласия работника. Требований к форме согласия закон не предъявляет, но работодателю рекомендуется позаботиться о том, чтобы оно было оформлено документально, то есть предоставлено в письменной форме.

Образец согласия работника на обработку его персональных данных:

СОГЛАСИЕ

на обработку персональных данных

    Я, Богатырев Петр Андреевич,

    паспорт: серия 1234 номер 123456, выдан 06.40.2004 УВД Центрального района г. Москвы,

    адрес регистрации по месту жительства: 123456, г. Москва, ул. А. Суворова, д. 44, кв. 56,

   

даю согласие обществу с ограниченной ответственностью «Сентябрь» (юридический адрес: 123456, г. Москва, ул. Осипенко, д. 324) на обработку в документальной и/или электронной форме с целью исполнения определенных сторонами условий трудового договора от 01.09.2015 № 76-ТД следующих персональных данных:

– фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование и повышение квалификации или наличие специальных знаний; профессия (специальность);

– общий трудовой стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер заработной платы; состояние в браке, состав семьи, место работы или учебы членов семьи и родственников;

– паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона; идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография;

– сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции (могут быть добавлены и другие данные).

Настоящее согласие действует в течение всего срока действия трудового договора. Настоящее согласие может быть отозвано мной в письменной форме.

                                                                                                   Богатырев П.А. Богатырев

01.09.2015

В дело № 02-04

Иванова 02.09.2015

Итак, мы рассмотрели основные действия, которые может и должна совершить в отношении персональных данных своих коллег секретарь, которой приходится заведовать еще и кадровым делом. Последняя рекомендация – при любых сомнениях в правомерности своих действий обращаться к нормативным документам, которые мы перечислили в начале статьи.


Интересная информация о организационных документах размещена здесь.


См. п. 1. Ст. 6, ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Мероприятия

      Мероприятия

      Проверь свои знания и приобрети новые

      Посмотреть

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией
      Вебинар «Секретарь в соцсетях. Правила поведения»
      Журнал «Справочник секретаря и офис-менеджера»




      Вопрос - ответ

      Отвечаем на Ваши вопросы

      Какие реквизиты используются при оформлении приказов по основной деятельности?
      Проекты приказов по основной деятельности готовятся по поручению руководителя организации в структурных подразделениях организации, оформляются на специальном бланке и содержат следующие реквизиты
      Недавно устроилась секретарем в компанию, где передо мной встала задача наладить документооборот
      Подскажите, как правильно начать формировать локальную нормативную базу и какие нормативные документы мне в этом помогут? Читайте ответ на вопрос
      Задайте свой вопрос здесь>>> www.sekretariat.ru/pk

      PRO Делопроизводство
      Портал для руководителей служб ДОУ и секретарей всех уровней

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Свидетельство о регистрации ПИ № ФС77-64197 от 25.12.2015


      E-mail: document@sekretariat.ru

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Зарегистрируйтесь и продолжите чтение!

      Регистрация бесплатная и займет всего минуту!

      После регистрации вы сможете:

      • читать любые статьи по Делопроизводству и Документообороту на нашем сайте
      • бесплатно подписаться на ежедневные новости для секретарей и офис-менеджеров
      • участие в онлайн вебинарах и возможность задавать вопросы экспертам

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Всего один шаг - и документ Ваш!

      Только зарегистрированные пользователи могут скачивать материалы с сайта. Регистрация бесплатна и займет менее минуты. После нее Вы сможете загрузить документ, а также получите доступ к материалам и сервисам сайта.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль