Ликбез по персональным данным для компаний, которые их обрабатывают. Фрагмент Положения о персональных данных работников

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

• фамилию, имя, отчество;
• адрес проживания;
• электронный адрес;
• номер телефона;
• дата рождения;
• место рождения;
• национальность;
• вероисповедание;
• место работы;
• должность;
• рост;
• и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

• сотрудников, работающих по трудовым договорам;
• работающих по договорам ГПХ;
• и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных , как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
   • Приказ о назначении ответственного за организацию обработки персональных данных;
   • Документ, определяющий политику оператора в отношении обработки персональных данных;
   • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
   • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
   • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
   • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
   • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
   • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
   • Документ о классификации информационных систем;
   • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
   • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

• По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

• Ознакомит со своей Политикой в отношении персональных данных клиентов.
• Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать	Сумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.	от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)	от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)	от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.	от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.	от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

• В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
• Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф : для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных . Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф : для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных . Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

***

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

• включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
• соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
• добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
• оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Связаться с экспертом

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес;
• семейное, социальное, имущественное положение;
• образование, профессия, должность, доходы;
• биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

• сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
• номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
• фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

• только своих работников;
• для целей заключения и исполнения договоров (например, персональные данные контрагентов);
• для однократного пропуска лица на территорию компании;
• без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

• обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
• получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
• обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
• обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес;
• семейное положение;
• должность (профессия);
• зарплата, другие доходы;
• владение недвижимым имуществом, денежные вклады и др.;
• образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
• привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• физиологические особенности, здоровье;
• деловые и иные личные качества;
• другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N	Документ	Сведения
1	Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)	Анкетные и биографические данные работника
2	Копия документа, удостоверяющего личность работника	Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3	Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)	Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность
4	Трудовая книжка	Сведения о трудовом стаже, предыдущих местах работы
5	Копии свидетельств о заключении брака, рождении детей	Состав семьи, изменения в семейном положении
6	Документы воинского учета	Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7	Справка о доходах с предыдущего места работы	Ф.И.О., данные о сумме дохода и удержанного НДФЛ
8	Документы об образовании	Подтверждают квалификацию работника, обосновывают занятие определенной должности
9	Документы обязательного пенсионного страхования	Ф.И.О., личные данные
10	Трудовой договор	Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11	Приказы по личному составу	Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N	Обязанность	Содержание раздела
1	Общие положения	Цель принятия Положения
		Вопросы, которые регулирует Положение
		Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: - Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации"; - Указ Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; - нормативные акты субъекта РФ
2	Основные понятия. Состав персональных данных работников	Основные понятия. Даются определения понятий "персональные данные", "обработка персональных данных", "использование персональных данных", указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
		Перечень документов организации, которые содержат персональные данные
3	Получение персональных данных работников	Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4	Использование персональных данных	Цели использования личной информации сотрудников
5	Обработка персональных данных	Условия, соблюдаемые при обработке персональных данных работника
6	Передача персональных данных (доступ к персональным данным)	Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ)
7	Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных	Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

• в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
• - листе ознакомления с Положением (образец на с. 91);
• - журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/п	Наименование локального нормативного акта	Дата	Подпись
1	Правила внутреннего трудового распорядка ООО "Черный лес"	03.10.2011	Евстахов
2	Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО "Черный лес"	03.10.2011	Евстахов
3	Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1	03.10.2011	Евстахов
4	Положение о персональных данных	03.10.2011	Евстахов
5	Положение о материальной ответственности работников за ущерб, причиненный ООО "Черный лес"	03.10.2011	Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Ответственный за организацию работы с персональными данными работников

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

• начальника отдела кадров;
• (старшего) инспектора по кадрам;
• директора по персоналу;
• заместителя начальника отдела (директора по персоналу);
• специалиста по работе с персоналом.

Может быть введена и новая должность.

C чего начать?!

Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей организации. С чего же начать?!

В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.

В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного - подготовка документов по защите персональных данных , контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.

Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.

Субъект персональных данных - это человек, персональные данные которого Вы обрабатываете.

Особое внимание следует уделить так называемым специальным категориям персональных данных . К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).

После этого необходимо определиться с целями обработки каждого вида персональных данных.
Целями могут быть:
- обеспечение трудовых взаимоотношений (для персональных сотрудников);
- обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);
- исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).

Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».

Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме ").

Согласие в письменной форме требуется в следующих случаях:
- обрабатываются специальные категории персональных данных
- обрабатываются биометрические персональные данные
- будет осуществляться трансграничная передача персональных данных

Согласие субъекта не требуется в случаях:
- обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);
- персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).

На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки : автоматизированный, неавтоматизированный, смешанный.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных - ИСПДн) предполагает использование компьютера.

Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.

Организации, обрабатывающей персональные данные, необходимо зарегистрироваться в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных ».Уведомление не требуется в случаях:
- Обрабатываются только персональные данные сотрудников.
- Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).
- Обрабатываются только персональные данные членов общественного объединения или религиозной организации.
- Обрабатываются общедоступные персональные данные.
- Персональные данные используются только для однократного пропуска на территорию организации.
- Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.
- Персональные данные обрабатываются без использования средств автоматизации.
- Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.
- Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности

Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.

Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.

Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет-страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

1. Автоматизированно.
2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
3. помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

1. Образование.
2. Опыт работы, прежняя должность.
3. Данные о семье и их работе.
4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

1. Важно соблюдение законности и добросовестности целей и методов обработки.
2. Соответствие целям, заявленным при сборе.
3. Соответствие объема и характера обрабатываемой информации, методов целям.
4. Достоверность сведений.
5. Недопустимость объединения баз для несовместимых целей.
6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

1. Выполнение обработки с разрешения субъектов.
2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
2. Все выполняется для исполнения договора.
3. Требуется выполнение статистических и других научных целей.
4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
5. Выполняется доставка почтовых отправлений.
6. Осуществляется профессиональная деятельность журналиста.
7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

1. Руководители кадрового отдела.
2. Кадровые инспекторы.
3. Руководители по персоналу.
4. Заместители руководителей по персоналу.
5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

 

Возможно, будет полезно почитать:

• Аббатство - это католический монастырь ;
• Самые распространенные расклады ;
• Быт и обычаи Обычаи и нравы 19 века ;
• К чему снятся жабы и лягушки: мужчине, девушке, женщине, беременной – толкования разных сонников ;
• Основные характеристики марса ;
• Должностная инструкция транспортного экспедитора ;
• Татаро-монгольское иго или история о том, как ложь стала правдой ;
• Журавль толкование сонника ;