Какой из правовых актов не является источником трудового права положение о персональных данных

Обновлено: 17.05.2024

С татья 23 Конституции России утвердила право граждан на неприкосновенность личной жизни и защиту чести и достоинства. А статья 24 установила, что сбор, обработка и передача персональных данных гражданина без его согласия являются незаконными. Всемирная Декларация и Международный пакт о гражданских и политических правах защищает людей от несанкционированного вмешательства в частную жизнь или разглашение сведений из личной корреспонденции. Важно знать, что такое персональные данные, как предупредить их незаконное использование и какая ответственность за подобные деяния предусмотрена по закону.

Персональные данные: что это?

  • полную дату рождения (число, месяц, год);
  • фамилию, имя, отчество;
  • адрес проживания или регистрации;
  • семейное (социальное) положение;
  • уровень дохода;
  • полученное образование;
  • место работы, размер зарплаты и т. д.

Расшифровка персональных данных работника содержится в части 1 статьи 85 ГК России. Это сведения, полученные работодателем в связи с возникновением трудовых отношений, которые касаются определенного сотрудника. Таким образом, закон ограничивает работодателя в объеме обрабатываемых данных работника. Он вправе собирать только те данные, которые касаются трудовых отношений.

Классификация персональных данных

В соответствии с законодательством РФ существует четыре категории персональных данных, подлежащих правовой защите:

Правовая защита личных сведений

Все методы защиты персональных данных условно подразделяют на три разновидности:

  • Нормы, закрепленные в гражданском и трудовом законодательстве, регулирующие отношения между гражданами и государственными служащими, а также сотрудниками и работодателем.
  • Перечень правовых и организационных мер, ограничивающих правомочия работодателя и государственных служащих.
  • Гарантирование права лица на безопасность персональных данных.

Для защиты персональных данных законодатель предусматривает:

  • неоплачиваемый и открытый доступ физического лица к своим персональным данным, предусматривающий копирование сведений, содержащих персональные данные;
  • выбор физического или юридического представителя по защите личных данных;
  • открытость сведений об использовании и распространении персональных данных;
  • требование о внесении поправок в персональные данные, если в них обнаружена ошибка;
  • подача иска в суд при выявлении незаконных действий компании-работодателя или государственных служащих для защиты персональных данных.

Ответственность за несоблюдение требований закона по защите личной информации

Законодательство РФ предусматривает пять видов юридической ответственности за несоблюдение прав граждан по защите сведений, содержащих персональные данные. Это:

  • материальная;
  • административная;
  • дисциплинарная;
  • гражданская;
  • уголовная ответственность.

При этом установлены взыскания не только для граждан, но и для юридических лиц.

Статья 150 ГК России к нематериальным правам, обеспеченным правовой защитой, относит персональную неприкосновенность гражданина и его жилища, а также обеспечение сохранения данных, содержащих личную конфиденциальную информацию. ГК вводит и понятие морального ущерба, который является результатом нравственных или физических противоправных действий, нарушения конфиденциальности персональных данных. Это основание для назначения денежной компенсации причиненного ущерба.

В соответствии с положениями ГК РФ при расчете величины компенсационных выплат суд обращает внимание на:
виновность злоумышленника;

  • причиненный распространением персональных данных вред;
  • персональные особенности лица, пострадавшего от противоправных действий.

Пострадавший вправе обратиться с заявлением в суд для опровержения данных, не соответствующих действительности, которые наносят ущерб его чести и деловой репутации, если ответчик не докажет достоверность таких данных.

Публикация и использование персональных данных в форме фото- и видеоизображений гражданина, картин с его изображением разрешены только после получения согласия на данные действия.

Материальная ответственность за разглашение персональных данных, подлежащих правовой защите, насчитывается в размере причиненного вреда. Данная норма закреплена в пункте 7 статьи 243 Трудового кодекса. Данный случай полной компенсации причиненного ущерба – исключение из правил, подтверждающее главенствующее значение защиты персональных данных.

Дисциплинарная ответственность предполагает увольнение сотрудников, допустивших распространение персональных данных других работников или клиентов организации. Данная норма действует только в случае, когда разглашение персональных данных произошло в результате исполнения нарушителем профессиональных обязанностей. Привлечение к дисциплинарной ответственности за распространение личных данных – право работодателя, а не обязанность. При наложении данного взыскания учитываются:

  • степень вреда, нанесенного разглашением личных данных;
  • обстоятельства совершения данного правонарушения.

К сотруднику, виновному в незаконном распространении личных данных, применяются такие дисциплинарные взыскания:

  • замечание;
  • выговор;
  • увольнение.

Административная ответственность за незаконное получение, хранение, обработку и распространение персональных данных граждан предусматривает устное предупреждение или штраф для физических лиц в размере 300-500 рублей, для служащих – 500-1 000 рублей и для предприятий – 5 000-10 000 рублей. Данная норма закреплена в статье 13.11 КоАП России.

За распространение личных данных, полученных в результате исполнения трудовых обязанностей, установлен административный штраф от 500 до 1 000 рублей. При привлечении за данное правонарушение служащих сумма штрафа увеличивается – от 4 000 до 5 000 рублей. Данная санкция закреплена в статье 13.14 КоАП.

Уголовная ответственность за нарушение защиты персональных данных закреплена в статье 137 УК России. Несанкционированное получение, хранение и передача данных, представляющих семейную или личную тайну, без согласия гражданина, использование данных сведений в публичных выступлениях или демонстрациях художественных произведений, публикации таких данных в СМИ (средствах массовой информации) караются уголовным штрафом до 200 000 рублей, общественными или исправительными работами или арестом до 4 месяцев. Если данное деяние совершено должностным лицом, сумма штрафа возрастает до 300 000 рублей, а продолжительность ареста – до полугода.

Маркина Т. Ю.

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

  • Скачайте бесплатно шпаргалку в конце статьи: случаи, когда Роскомнадзор можно не уведомлять о начале обработки персональных данных.

В конце статьи есть шпаргалка

Мария Финатова

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Основные обязательные документы:

  • Политика в отношении персональных данных — в первую очередь должна быть в организации (ст. 18.1 Федерального закона № 152-ФЗ). ​

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

  • Локальный нормативный акт по персональным данным — определяет порядок обработки персональных данных в конкретной организации, с ним должны быть ознакомлены все работники под подпись. Наличие документа обусловлено требованием ст. 86 Трудового кодекса РФ.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

  • для должностных лиц — от 20 000 до 40 000 руб.
  • для юридических лиц — от 30 000 до 150 000 руб.

За повторное нарушение ввели новые штрафы:

  • для должностных лиц — от 40 000 до 100 000 руб.
  • для индивидуальных предпринимателей — от 100 000 до 300 000 руб.
  • для юридических лиц — от 300 000 до 500 000 руб.

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

  • перечень случаев-исключений смотрите в шпаргалке (скачайте в конце статьи).

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

  • для должностных лиц — от 300 до 500 руб.;
  • для юридических лиц — от 3 000 до 5 000 руб.

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

  • В обязательном порядке необходимо проверить не только правильность оформления документов, но и каким образом выстроены процессы и процедуры при осуществлении обработки персональных данных.

Алгоритм действий:

  1. Отберите документы по персональным данным, которые будут подлежать проверке: локальные нормативные акты, согласия от работников, соискателей, третьих лиц, и др. субъектов, чьи данные обрабатываются), приказы, инструкции, регламенты, типовые формы документов, содержащие персональные данные. Проанализируйте их на предмет соответствия требованиям действующего законодательства.
  2. Проверьте порядок получения персональных данных от каждого субъекта.
  3. Проанализируйте, как осуществляется обработка персональных данных за пределами организации третьими лицами и внутри организации — при передаче из отдела в отдел по электронной почте, телефону, по запросу.
  4. Результаты аудита оформите актом или заключением. Форма может быть любой — главное, выявить нарушения, для того чтобы их можно было в дальнейшем устранить.

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

  1. Обработка персональных данных соискателя и третьих лиц без получения от них согласия в установленном порядке.
  2. Использование согласия на обработку персональных данных по форме, не соответствующей требованиям норм действующего законодательства.
  3. Отсутствие или неразмещение Политики в отношении персональных данных на сайте организации либо необеспечение неограниченного доступа к данному документу в организации.
  4. Несоответствие локального нормативного акта по персональным данным требованиям норм действующего законодательства.
  5. Отсутствие в организации ответственного лица или лиц за организацию обработки персональных данных.
  6. Незаконная передача персональных данных третьим лицам (без согласий либо с согласиями, оформленными с нарушениями).
  7. Нарушение порядка хранения и уничтожения персональных данных в информационных системах и на бумажных носителях.
  8. Нарушение порядка предоставления персональных данных или документов, содержащих персональные данные работников.

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

  • При приеме на работу необходимо получить от работника согласие на обработку тех его персональных данных, которые работодатель собирается обрабатывать в деловых целях, а не для исполнения требований норм действующего законодательства.

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

  • Если работодатель будет распространять персональные данные работника, то ему необходимо получить на это отдельное согласие от работника (ст. 10.1 Федерального закона № 152-ФЗ).
  • Еще одно согласие в обязательном порядке работодатель как оператор персональных данных должен получить до начала трудовых отношений, когда работник имеет статус соискателя и его данные обрабатываются в других целях, нежели при трудоустройстве.

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

  • Главное условие, чтобы это был запрос от того юридического или физического лица, кто хочет получить персональные данные. Поясните, что ответ будет предоставлен только при наличии письменного согласия субъекта персональных данных. Если данные необходимо получить вашей организации, действуйте по аналогии — направляйте официальный запрос.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

  • документ, удостоверяющий личность, СНИЛС (если он есть у работника), военный билет, документ об образовании и т.д.

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

  • Пример целей, определенных законом: для приема на работу, для заключения трудового договора, для начисления заработной платы, для предоставления отпуска и т.д.
  • Пример целей работодателя: создание адреса электронной почты с указанием имени или фамилии работника, для оформления визиток, для поздравления с днем рождения, для заказа пропуска и т.д.

Оптимально хранить оригиналы документов, необходимые работодателю:

  • к таким документам относятся трудовой договор, письменные соглашения к нему, согласия на обработку и распространение персональных данных, заявления, приказы, личная карточка Т-2.

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Рекомендации кадровикам по работе с персональными данными работников

Мария Финатова

Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.

Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса Российской Федерации и других федеральных законов (статья 87 ТК РФ).

Эта норма обязывает работодателя принять локальный нормативный акт, который будет регулировать порядок хранения и использования персональных данных. Таким локальным нормативным актом, как правило, является Положение о персональных данных работников.

В соответствии с пунктом 8 статьи 86 Трудового кодекса Российской Федерации работники и их представители должны быть ознакомлены под роспись с документами, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой области.

Положение о персональных данных - обязательный документ?

Положение о персональных данных относится к тем локальным нормативным актам, которые обязательно должны быть в организации.

В соответствии со статьей 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и других федеральных законов.

Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен Положением о персональных данных определить порядок хранения, обработки и использования персональных данных.

Оформление Положения о персональных данных

Согласно ст.68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка и другими локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника.

Поскольку из содержания пункта 1 статьи 86 Трудового кодекса следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, которые также связаны с их трудовой деятельностью.

А значит со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора.

Структура Положения о персональных данных

Структура Положения о персональных данных может быть следующей:

  • внутренний (предоставление персональных данных отдельным работникам компании);
  • внешний (передача персональных данных представителям других компаний и государственных органов).

Введение в действие Положения о персональных данных

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем посредством издания приказа, который подписывает руководитель компании либо другое уполномоченное на это лицо.

При наличии в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований статьи 372 Трудового кодекса Российской Федерации.

Согласно указанной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников.

Такой орган не позднее 5 рабочих дней со дня получения проекта локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме.

В случае если это мнение выражает несогласие с проектом или содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа либо в течение 3 дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, которое устроило бы обе стороны.

Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт.

В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно абзацу 4 статьи 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с действующим законодательством.

Когда наступает ответственность?

Если на момент проверки государственной инспекцией труда Положение о персональных данных было принято в организации и работники ознакомлены с ним под роспись, то оснований для применения санкций нет.

Поскольку исходя из содержания ст.87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения компании к ответственности согласно статье 5.27 КоАП РФ. Однако если на момент проверки Положение о персональных данных в организации имеется и работники с ним ознакомлены, оснований для применения штрафных санкций к работодателю нет.

Тот факт, что на момент приема работников в организацию указанного положения не было, не будет иметь значения, если работодателем не были допущены нарушения правил хранения, использования и обработки персональных данных.

Ознакомление с Положением о персональных данных

Исходя из требований статей 68 и 86 Трудового кодекса Российской Федерации работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных.

Факт ознакомления с указанным положением может фиксироваться как в тексте самого трудового договора (посредством перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом положении на листе ознакомления с ним).

Работодатель также может предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в том числе с Положением о персональных данных).

Рассылка документа по электронной почте является ознакомлением?

Наших специалистов часто спрашивают: можно ли рассылку текста Положения о персональных данных на служебные электронные адреса работников считать надлежащим ознакомлением работников с документом?

Ответ: нет, такой способ ознакомления с локальным нормативным актом не соответствует требованиям российского законодательства и вот почему.

Как указано в пункте 8 статьи 86 Трудового кодекса РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Исходя из смысла этой нормы, работодатель обязан именно под роспись ознакомить работников с Положением о персональных данных.

Рассылка документа по электронной почте не будет считаться ознакомлением под роспись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с локальным нормативным актом.

Обратите внимание: по мере выхода и вступления в силу изменений законодательства Российской Федерации часть информации, приведенной на этой странице, может оказаться устаревшей и не подлежащей применению.


Положение о персональных данных работников - образец 2021 года вы найдете в этой статье - должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2021 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

образец положения об обработке персональных данных работников

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

  • Федеральный закон от 27.07.2006 № 152-ФЗ
  • Трудовой кодекс РФ

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Пробный бесплатный доступ к системе на 2 дня.

Читайте также: