Бесплатная горячая линия

8 800 700-88-16
Главная - Трудовое право - Какие локальные нормативные документы регулируют работу с персональными данными

Какие локальные нормативные документы регулируют работу с персональными данными

Организация работы с персональными данными

Вы здесь Опубликовано 2012-02-19 13:43 пользователем Valeratal С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации.

Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Речь идет о таких данных, как:

  1. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  2. пол;
  3. владение недвижимым имуществом, денежные вклады и др.;
  4. другие сведения.
  5. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  6. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  7. должность (профессия);
  8. физиологические особенности, здоровье;
  9. деловые и иные личные качества;
  10. фамилия, имя, отчество;
  11. зарплата, другие доходы;
  12. семейное положение;
  13. адрес;
  14. дата и место рождения;

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п.

2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель. Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  1. сбор;
  2. накопление;
  3. обезличивание;
  4. извлечение;
  5. уничтожение персональных данных.
  6. использование;
  7. систематизация;
  8. уточнение (обновление, изменение);
  9. хранение;
  10. передача (распространение, предоставление, доступ);
  11. удаление;
  12. блокирование;
  13. запись;

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение).

Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ.

Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с.

80. Таблица 2. Структура Положения о персональных данных работников N Обязанность Содержание раздела 1 Общие положения Цель принятия Положения Вопросы, которые регулирует Положение Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение.

В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ 2 Основные понятия.

В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ

«О государственной гражданской службе Российской Федерации»

; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ 2 Основные понятия. Состав персональных данных работников Основные понятия.

Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д.

Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) Перечень документов организации, которые содержат персональные данные 3 Получение персональных данных работников Процедура получения персональных данных.

Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно 4 Использование персональных данных Цели использования личной информации сотрудников 5 Обработка персональных данных Условия, соблюдаемые при обработке персональных данных работника 6 Передача персональных данных (доступ к персональным данным) Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) 7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных Введение Положения в действие Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст.

372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза.

Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл.

61 Трудового кодекса. Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  1. в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  2. — листе ознакомления с Положением (образец на с. 91);
  3. — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами N п/п Наименование локального нормативного акта Дата Подпись 1 Правила внутреннего трудового распорядка ООО «Черный лес» 03.10.2011 Евстахов 2 Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» 03.10.2011 Евстахов 3 Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 03.10.2011 Евстахов 4 Положение о персональных данных 03.10.2011 Евстахов 5 Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» 03.10.2011 Евстахов Фрагмент журнала ознакомления с Положением о персональных данных N п/п Ф.И.О.

работника Дата ознакомления Подпись 1 Алексеева Диана Николаевна 15.08.2011 Алексеева 2 . . . 6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов 7 . . . 8 . . . 9 . . . Примечание.

Срок хранения персональных данных Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл.

3. Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников Нарушение Ответственность Норма законодательства Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб. Статья 13.11 КоАП РФ Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей Для должностных лиц: от 4000 до 5000 руб. Статья 13.14 КоАП РФ Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации.

Для этого следует издать приказ (образец которого приведен на с. 92). Образец приказа Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  1. заместителя начальника отдела (директора по персоналу);
  2. (старшего) инспектора по кадрам;
  3. директора по персоналу;
  4. специалиста по работе с персоналом.
  5. начальника отдела кадров;

Может быть введена и новая должность. Автор: А.Ю.Тьевар, старший научный редактор журнала «Зарплата» Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Конфиденциальность локальных нормативных актов и других документов работодателя

Вы здесь Опубликовано 2013-12-23 17:21 пользователем hrconsul «Кадровик.

Кадровое делопроизводство», 2013, N 1 КОНФИДЕНЦИАЛЬНОСТЬ ЛОКАЛЬНЫХ НОРМАТИВНЫХ АКТОВ И ДРУГИХ ДОКУМЕНТОВ РАБОТОДАТЕЛЯ В статье рассмотрена проблема установления режима конфиденциальности в отношении локальных нормативных актов работодателя и ограничения доступа работников к таким актам. На практике данная проблема влечет отказ работодателя в предоставлении копий локальных нормативных актов работникам. На основе примеров из судебной практики и действующего законодательства определены те локальные нормативные акты, к которым не может быть ограничен доступ работников.

На практике становятся распространенными действия работодателя по ограничению доступа к его локальным нормативным актам как для собственных работников, так и для лиц за пределами организации работодателя (работодателя — физического лица). Как справедливо указывает Г. В.

Хныкин, локальные нормативные акты предназначены только для внутреннего использования в рамках конкретной организации [1, с. 12]. Отсюда вполне обоснованным является желание работодателя ограничить выход локальных нормативных актов за пределы его организации.

Пример. Так, в Положении о защите информации и персональных данных работников в Челябинском театре юных зрителей предусмотрено, что предоставление локальных нормативных актов и иных документов о деятельности театра третьим лицам не допускается без согласия работодателя. * * * В Положении об обеспечении сохранности сведений ограниченного распространения одного коммерческого банка разграничены коммерческая, банковская тайны и внутрибанковская служебная информация; последняя распространяется за пределы банка с разрешения уполномоченных должностных лиц.

Ограничение выхода локальных нормативных актов за пределы организации работодателя согласуется с п.

1 ч. 3 ст. 6 Федерального закона от 27.07.2006 N 149-ФЗ

«Об информации, информационных технологиях и защите информации»

(ред. от 28.07.2012, далее — Закон N 149-ФЗ): обладатель информации вправе разрешать и ограничивать доступ к информации, определять порядок и условия такого доступа.

Прямых указаний в Трудовом кодексе РФ относительно доступности локальных нормативных актов нет, в том числе и для работников данного работодателя.

Режим конфиденциальности В силу ст. 22 ТК РФ работодатель обязан ознакомить работников под роспись с принимаемыми локальными нормативными актами, связанными с их трудовой функцией. Однако обязанность «ознакомить работника» и обязанность «обеспечить режим общедоступности» к локальным нормативным актам не тождественны.
Однако обязанность «ознакомить работника» и обязанность «обеспечить режим общедоступности» к локальным нормативным актам не тождественны.

Следовательно, работодатель может устанавливать режим конфиденциальности самих локальных нормативных актов, предварительно ознакомив с ними работников.

Кроме того, установление режима конфиденциальности локальных нормативных актов означает для работников обязанность по неразглашению содержащихся в этих актах сведений. Соответственно, для локального нормативного акта может быть установлен режим охраняемой законом тайны (коммерческой, служебной или профессиональной тайны) или просто режим конфиденциальности. По п. 2 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ред.

от 25.07.2011, далее — Закон N 152-ФЗ) оператор персональных данных обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Однако данное требование распространено только на документы, содержащие политику оператора в отношении персональных данных, а не локальных нормативных актов работодателя. По пп. 6 п. 1 ст. 18.1 Закона N 152-ФЗ работодатель обязан ознакомить работников с локальными актами по вопросам обработки персональных данных, а по п.

8 ст. 86 ТК РФ — с документами работодателя, устанавливающими порядок их обработки, права и обязанности работников в этой сфере. Следовательно, положение о персональных данных также может обеспечиваться в режиме конфиденциальности.

Ограниченный доступ Для решения поставленной проблемы следует обратить внимание на перечни сведений, доступ к которым по действующему законодательству не может быть ограничен. Такие перечни содержатся в ч. 4 ст. 8 Закона N 149-ФЗ и ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (ред.

5 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (ред. от 11.07.2011). Из смысла п. 5 этой статьи следует, что режим коммерческой тайны не может быть установлен в отношении следующих локальных нормативных актов работодателя: 1) штатного расписания (как документа, содержащего сведения о численности и о составе работников); 2) положений о системах оплаты труда; 3) положений об охране труда (как сведений об условиях труда, об охране труда, о показателях производственного травматизма и профессиональной заболеваемости). Но установленный в ст. 5 запрет не исключает возможности введения режима других видов охраняемых законом тайн или режима конфиденциальности.

Например, штатное расписание содержит сведения о заработной плате работников, что предполагает установление режима его конфиденциальности как акта, содержащего персональные данные. Как отмечает А. М. Куренной, то, что мы не можем объявить тайной коммерческой, мы имеем полное право объявить тайной служебной [2, с. 14]. С другой стороны, в соответствии со ст.

62 ТК РФ работодатель обязан по письменному заявлению работника выдать ему копии документов, связанных с работой.

Возникает вопрос: являются ли запрашиваемые работником локальные нормативные акты документами, связанными с работой, и в каком случае работодатель может отказать в их предоставлении работнику? Приведем примеры из судебной практики.

Пример. Истица обращалась с заявлениями о предоставлении ей сведений по штатному расписанию, однако в предоставлении ей таких сведений было отказано со ссылкой на коммерческую тайну ответчика. Решением суда первой инстанции иск был удовлетворен частично: суд признал отказы администрации о выдаче К.

копий штатного расписания незаконными и обязал предприятие их предоставить.

Судебная коллегия, напротив, нашла ошибочным вывод суда о том, что штатное расписание является документом, связанным с работой истицы, поскольку не содержит сведений, касающихся только трудовой деятельности истицы [3]. * * * Истица обратилась к ответчику с заявлением о выдаче ей документов, связанных с ее бывшей работой: справки о ее заработной плате и копии приказов, на основании которых ответчик ей выплатил премии в 2005 г.

Ответчик выдал истице справку о заработной плате, но отказался выдать копии приказов. Суд пришел к выводу о том, что требования истицы не подлежат удовлетворению, так как у ответчика отсутствовала обязанность по предоставлению истице копий приказов о премировании всех работников, поскольку истица обосновала свою необходимость в их предоставлении для убеждения в том, что она не была ответчиком дискриминирована, то есть ей необходима информация об оплате труда других работников.

Поэтому оснований для истребования и изучения в целях правовой оценки локального нормативного акта о порядке премирования работников учреждения не имеется [4].

Приведем еще два решения, где у судов оказались противоположные точки зрения по поводу требований работников о выдаче им копий таких документов, как положение об оплате труда, положение о премировании, правила внутреннего трудового распорядка. Пример. Из Определения Хабаровского краевого суда от 17.04.2009 по делу N 33-2098: работник потребовал выдать ему копии положения об оплате труда и социальной защищенности и правил внутреннего распорядка организации, куда он трудоустроился. Но суд отказал ему в удовлетворении такого иска.

В соответствии со ст. 68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить его под роспись со своими локальными нормативными актами, непосредственно связанными с его трудовой деятельностью. Исходя из имеющихся в Трудовом кодексе формулировок указанные документы не связаны с работой конкретного сотрудника организации, поэтому выдавать их копии работодатель не обязан [5].

* * * Из Решения Коряжемского городского суда Архангельской области от 28.07.2009 по делу N 2-362: работник потребовал у работодателя копии правил внутреннего трудового распорядка, положения о премировании, табеля фактически отработанного истцом времени, положения о пропускном режиме, графика сменности. Суд поддержал его позицию, поскольку истец в силу возложенных на него трудовых обязанностей должен соблюдать эти акты и руководствоваться ими в своей работе.

Значит, на данные документы распространяется действие ст. 62 ТК РФ. При этом законодатель не связывает указанную обязанность работодателя с действительной потребностью работника в копиях документов — достаточно лишь его письменного заявления [5].

В рассмотренных ситуациях суды руководствовались связанностью запрашиваемых документов и локальных актов с трудовой функцией работника.

Однако, на наш взгляд, при ответе на поставленный вопрос следует руководствоваться содержанием запрашиваемых документов и определением их значимости для защиты прав работника. Пример. Так, М. обратился с иском к ФГУП «ПО «Маяк» о выдаче заключения о его «осведомленности в сведениях особой важности и (или) совершенно секретных сведениях», считая, что ответчик отказал в его выдаче в нарушение требований ст.

62 ТК РФ, мотивируя наличием грифа «для служебного пользования». После увольнения из ФГУП ПО «Маяк» М. был ознакомлен под роспись с заключением об осведомленности в совершенно секретных сведениях и ограничении права выезда за пределы РФ, которое имеет гриф «ДСП». Суд отказал в удовлетворении исковых требований, так как требуемые истцом сведения не относятся к числу документов, связанных с работой, которые подлежат выдаче в 3-дневный срок на основании положений ст.

Суд отказал в удовлетворении исковых требований, так как требуемые истцом сведения не относятся к числу документов, связанных с работой, которые подлежат выдаче в 3-дневный срок на основании положений ст. 62 ТК РФ [6]. Отсутствие связанности с трудовой функцией и конфиденциальность содержания послужили основанием для отказа работнику. Поэтому если локальные нормативные акты или другие документы содержат конфиденциальную информацию работодателя, работников или других лиц, то доступ к таким локальным актам должен быть ограничен работодателем и в их предоставлении может быть отказано.

В том случае, если запрашиваемый локальный нормативный акт или документ необходим работнику для защиты своих прав, но содержит конфиденциальную информацию других лиц (их персональные данные), выход из сложившейся ситуации нам видится в обезличивании персональных данных по п.

9 ст. 3 Закона N 152-ФЗ. С другой стороны, в соответствии с п. 1 ч. 4 ст. 8 Закона N 149-ФЗ не допускается ограничение доступа к нормативным правовым актам, затрагивающим права, свободы и обязанности гражданина. Отсюда локальные нормативные акты работодателя, устанавливающие права и обязанности работников организации или индивидуального предпринимателя, должны находиться в открытом доступе для своих работников, так как от этого зависят возможность и точность реализации их требований.

По справедливому выводу Г. В.

Хныкина, локальные нормативные акты наряду с трудовым договором определяют взаимные права и обязанности работника и работодателя в организации, их поведение, взаимодействие и ответственность [1, с. 6], то есть не может быть ограничен доступ к любым локальным правовым актам работодателя.

Однако общедоступность всех локальных актов работодателя поставит под угрозу возможность обеспечения защиты информации ограниченного доступа. В силу ст. 21 ТК РФ работник обязан добросовестно исполнять свои трудовые обязанности, соблюдать правила внутреннего трудового распорядка, трудовую дисциплину, требования по охране труда и обеспечению безопасности труда.

Соответственно, для обеспечения добросовестного исполнения работником своих обязанностей не может быть ограничен доступ к правилам внутреннего трудового распорядка, положениям об охране труда.

При определении перечня доступных для работников локальных нормативных актов также следует принять во внимание процедуру их принятия.

Участие представительного органа работников в принятии локального акта свидетельствует о значимости его содержания для регулирования трудовых отношений. Совместное принятие коллективного договора, учет мнения представительного органа работников при принятии локальных нормативных актов о системах оплаты труда, об аттестации, правил внутреннего трудового распорядка и положений по охране труда предполагает недопустимость ограничения доступа работников к таким актам.

Установление требования о совместном принятии работодателем, работниками и их представителями мер защиты персональных данных работников (п.

10 ст. 86 ТК РФ), а также требования об ознакомлении работников и их представителей с документами работодателя о порядке обработки персональных данных, об их правах и обязанностях в этой области (п. 8 ст. 86 ТК РФ) позволяет отнести локальные нормативные акты об обработке и передаче персональных данных работников к числу доступных для работников актов.

8 ст. 86 ТК РФ) позволяет отнести локальные нормативные акты об обработке и передаче персональных данных работников к числу доступных для работников актов.

Неопределенность содержания формулировки «совместное принятие мер», на наш взгляд, предполагает необходимость закрепления в ТК РФ требования о принятии локального нормативного акта об обработке и защите персональных данных работников с учетом мнения представительного органа работников. Не вызывает сомнения запрещение ограничения доступа к графику отпусков (ст.

123 ТК РФ) и графику сменности (ст.

103 ТК РФ). Открытый доступ должен быть обеспечен к локальным актам, предусматривающим введение, замену и пересмотр норм труда (ст.

162 ТК РФ). Принимая во внимание разнообразные функции локальных нормативных актов, следует признать, что реализация их информационной функции и функции улучшения положения работников [7, с.

28] невозможна без открытого доступа работников к соответствующим локальным нормативным актам. Все работники и отдельные категории При решении вопроса об установлении режима конфиденциальности локальных нормативных актов следует также учитывать круг работников, которым те или иные локальные нормативные акты необходимы для осуществления своей трудовой функции.

Б. А. Горохов выделяет локальные нормативные акты, регулирующие трудовые отношения всех работников, работающих у данного работодателя, и локальные нормативные акты, регулирующие трудовые отношения определенных категорий работников [8, с. 147 — 149]. К примеру, положения об обеспечении конфиденциальности коммерческой тайны обязательны только для тех работников, которым такие сведения необходимы для осуществления трудовой функции.

Другие работники не должны получить доступ к такому локальному акту. Также работодатель может ограничить доступ к названным актам лиц, не являющихся работниками данного работодателя, с возможностью их предоставления с согласия работодателя либо по запросу компетентных органов.

Таким образом, для исключения злоупотребления правом на ограничение доступа к локальным нормативным актам со стороны работодателя в ТК РФ должно быть предусмотрено, что локальные нормативные акты, устанавливающие права и обязанности работников, должны находиться в открытом доступе для своих работников, а именно: правила внутреннего трудового распорядка, положения об охране труда, коллективный договор, положения по оплате труда, об аттестации, о нормировании труда, по вопросам рабочего времени и времени отдыха, по обработке, передаче и защите персональных данных. Если локальные нормативные акты содержат конфиденциальную информацию работодателя, работников или других лиц, то доступ к таким локальным актам должен быть ограничен.

Лица, не являющиеся работниками данного работодателя, могут получить доступ к локальным нормативным актам только с согласия работодателя либо по запросу компетентных органов. В ТК РФ следует предусмотреть обязанность работодателя принимать локальный нормативный акт об обработке и защите персональных данных работников с учетом мнения их представительного органа.

Библиографический список 1. Хныкин Г. В. Локальные источники российского трудового права: теория и практика применения: Автореф.

дис. . докт. юрид. наук. М., 2005.

44 с. 2. Куренной А. М. «Трудовой» мастер-класс от Александра Куренного // Трудовое право. 2011. N 4. С. 5 — 19. 3. Кассационное определение Судебной коллегии по гражданским делам Верховного суда Республики Карелия от 14.09.2010 N 33-2767-2010 [Электронный ресурс].

URL: . ru/ru/docs/1251878/?query (дата обращения 28.02.2012).

4. Решение Частинского районного суда Пермского края от 26.08.2011 N 2-136/2011 [Электронный ресурс]. URL: . ru/ru/docs/3449917/?query (дата обращения 15.03.2012). 5. Об обязанности выдать копии локальных актов // Трудовые споры.

2011. N 7 [Электронный ресурс]. URL: http://e. tspor. ru/article. aspx? id=254153 (дата обращения 18.02.2012).

6. Решение Озерского городского суда Челябинской области от 07.04.2011 N 2-420/11 [Электронный ресурс]. URL: . ru/ru/docs/1995407/?query (дата обращения 15.03.2012).

7. Драчук М. А. Локальные нормативные акты организации: Учеб.-метод. пособие. Омск: Изд-во Омского гос.

ун-та, 2008. 316 с. 8. Горохов Б.

А. Современное правовое регулирование социально-трудовых отношений в России: средства, механизм, источники: Дис. . канд. юрид. наук. СПб., 2006.

209 с. У. Станскова Ст. преподаватель кафедры трудового и социального права Южно-Уральского государственного университета Подписано в печать 03.12.2012 Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Персональные данные: как составить локальные акты, чтобы у инспекторов не было вопросов

Роскомнадзор активно проверяет работодателей, применяя .

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных.

Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании. 2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений. Например, ЛНА могут определять:

  1. порядок обработки данных должностными лицами и проч.
  2. порядок хранения персональных данных,
  3. порядок обработки данных на бумажных носителях,
  4. общие принципы обработки данных,
  5. порядок передачи данных,
  6. порядок обработки данных в информационных системах,

4.

В каждый ЛНА стоит включить раздел «Общие положения».

В нем указать значение ЛНА, основные термины и понятия:

  1. «трансграничная передача персональных данных» и проч.
  2. «обработка персональных данных»,
  3. «персональные данные»,
  4. «оператор»,

Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст.

86 ТК РФ).Цели обработки персональных данных и содержание Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

  1. сбор данных для принятия решения о приеме кандидата на работу и проч.
  2. использование данных при составлении документов,
  3. использование персональных данных в информационных системах, с которыми работает компания,
  4. передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),

В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям. Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным. Внутренний доступ. Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки). Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч.

1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА. Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч.

Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.). Ответственный сотрудник будет:

  1. принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.
  2. информировать сотрудников о новых нормах, локальных актах о персональных данных;
  3. контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;

Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

  1. перечень действий по обработке,
  2. способы обработки,
  3. цели передачи данных и объемы,
  4. наименование и местонахождение третьих лиц,
  5. требования к защите данных.

Хранение персональных данных Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.). Базы данных с персональными данными работников должны находиться на территории Российской Федерации.

В ЛНА нужно указать место нахождения таких баз. Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований.

Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных. Основные требования к компании (ст.

18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

  1. обнаружение фактов несанкционированного доступа,
  2. установка антивирусов и проч.
  3. определение угроз безопасности,
  4. применение мер по обеспечению безопасной обработки данных,
  5. защита технических средств, на которых хранятся данные,

«Одноразовая» обработка персональных данных Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч. В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687).

Копировать информацию из журнала нельзя. В ЛНА нужно закрепить:

  1. сроки обработки данных,
  2. перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.
  3. порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
  4. данные, которые охрана запрашивает у гостей и вносит в журнал,
  5. цели сбора и обработки данных гостей,

Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п.

2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.). Источник: Источник: Рубрика: Подписывайтесь на «Утреннего бухгалтера».

Все для бухгалтера.

  1. © 2001–2020, Клерк.Ру.

18+

Положение о персональных данных работников в 2020 году: образец

Положение о персональных данных работников – образец 2020 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример. Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п.

1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие.

Все персональные данные сотрудника можно получить только от него самого.

См. ““. Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников.

Положение утверждает директор.

Ознакомьте сотрудников с документом под подпись (ст.

8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ). С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников.

Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников. Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации.

Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см.

Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно. При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  1. работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.
  2. обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  3. все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  4. работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;

Далее приведем возможный текст положения о защите персональных данных в 2020 году: Общество с ограниченной ответственностью «Стелла» (ООО Стелла») УТВЕРЖДАЮ Директор ООО «Стелла» __________ А.С. Пушкин 9 июля 2020 года ПОЛОЖЕНИЕ О работе с персональными данными работников 9 июля 2020 года Москва 1.

Общие положения 1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ. 1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т.

д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю. 1.3. Настоящее Положение вступает в силу с 9 июля 2018 года. 2. Получение и обработка персональных данных работников 2.1.

Персональные данные работника работодатель получает непосредственно от работника.

Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве. 2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе: – пол; – дату рождения; – семейное положение; – отношение к воинской обязанности; – местожительство и домашний телефон; – образование, специальность; – предыдущее(ие) место(а) работы; – иные сведения, с которыми работник считает нужным ознакомить работодателя. 2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней. 2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле.

В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации. 3. Хранение персональных данных работников 3.1.

Анкета работника хранится в его личном деле.

В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников. 3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца. 3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание.

Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным. 3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций.

Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников 4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. 4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты.

На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну. 4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование.

В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения. 5. Передача персональных данных работников 5.1.

Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом. 5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации.

Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана. 6. Гарантии конфиденциальности персональных данных работников 6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении. 6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений. Работники должны быть под подпись ознакомлены с Положением о персональных данных.

Факт ознакомления с указанным Положением может фиксироваться как в тексте самого трудового договора (путем перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом Положении на листе ознакомления с ним). Приводим для примера лист ознакомления работников с Положением о персональных данных N п/п Ф.И.О.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

4 thoughts on “Какие локальные нормативные документы регулируют работу с персональными данными

  1. Письмо МинОбрНауки не только не является законом, но и вовсе не является нормативно-правовым актом.

    Но вы вправе ходатайствовать о предоставлении отсрочки до осени на основании указанного письма. Но, ходатайство могут отклонить или вовсе оставить без рассмотрения.

  2. Призывные комиссии руководствуются прежде всего только федеральными законами и другими нормативными актами регулирующими вопросы предоставления отсрочек от призыва, а не какими-то там рекомендательными письмами от минобрнауки.

Comments are closed.

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+