Положение о персональных данных работников в 2021 году

Положение о персональных данных работников – образец 2021 года

  • Что такое персональные данные
  • Для чего нужно положение о работе с персональными данными
  • Положение о персональных данных работников: структура документа
  • Где можно скачать образец положения об обработке персональных данных работников
  • Итоги

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2021 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Новое в Законе «О персональных данных» 2021. Что нас ждет?

23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.

А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.

Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.

Персональные данные в 2021

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:

«10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»

Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

любые данные о человеке можно публиковать только с его прямого согласия!

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте 🙂

Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

новый пункт 1.1 статьи 3 ФЗ «О персональных данных». Можно придумать новую аббревиатуру, например ПДРР ))

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».

Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Как распространять персональные данные в 2021

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Читайте также:  Прекращение залога основания и порядок

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 01 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13.Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требования нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. … но не всем

Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона “О персональных данных” позволяет оспаривать отказ в удалении персональных данных в суде.

Что делать со старыми согласиями, полученными до 1 марта 2021?

Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие?

Не раньше, чем Роскомнадзор утвердит его форму. Не позже, чем 28 февраля 2021 г.

Мы следим за изменениями

Остаюсь с вами на связи. Все вопросы по статье можно задать в Телеграм или чат в Я.Дзене.

Изменились правила обработки персональных данных

С 1 марта 2021 года вступают в силу новые правила обработки персональных данных, разрешенных их субъектом для распространения. Впервые урегулирован отзыв согласия на обработку персданных.

Что случилось?

В конце декабря 2020 года президент России Владимир Путин подписал Федеральный закон № 519-ФЗ от 30.12.2020, который изменил порядок обработки персональных данных в РФ и внес поправки в действующий Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006. Установлены дополнительные гарантии защиты персональных данных россиян. Новации начинают действовать с 01.03.2021.

Согласие на обработку персональных данных

С 01.03.2021 получение согласия на распространение персональных данных «по умолчанию» не допускается. Согласие на обработку таких сведений операторов обязали оформлять отдельно от других документов. Молчание или бездействие субъекта персданных больше не является согласием на их обработку. Ожидается, что новые требования позволят избежать бесконтрольного использования третьими лицами общедоступных персональных данных граждан вопреки целям их первоначального распространения.

Граждане будут направлять согласие на обработку данных непосредственно оператору персональных данных или через специальную информационную систему Роскомнадзора. Форму и содержание согласия дополнительно утвердит Роскомнадзор (сейчас применяется ранее утвержденная форма, подробнее в статье «Согласие на обработку персональных данных: оформляем правильно»).

Обновленное соглашение на обработку общедоступных персданных будет содержать информацию:

  • о владельце и операторе персональных данных;
  • о категории принимаемых данных;
  • о цели их обработки;
  • срок действия согласия;
  • перечень сайтов в интернете, на которых оператору разрешается публиковать общедоступные персональные данные.

Дополнительно появится возможность прописать запрет на передачу данных «неограниченному кругу лиц».

Право на отзыв согласия на обработку персданных

Действующий Федеральный закон № 152-ФЗ от 27.07.2006 не предусматривает процедуры отзыва согласия на обработку персональных данных. После вступления в силу поправок появится возможность прекратить передачу разрешенных для распространения персональных данных в любое время по требованию их владельца. Для этого субъект персданных направит оператору заявление об отзыве согласия на обработку. Оно будет включать такую обязательную информацию:

  • Ф.И.О. субъекта персданных (отчество — при наличии);
  • номер телефона и электронную почту субъекта;
  • почтовый адрес;
  • персональные данные, обработку которых необходимо прекратить.

Форму и формат документа Роскомнадзор утвердит дополнительно до вступления поправок в силу. Прекратить обработку своих персональных данных человек теперь вправе потребовать от любого лица, которое их обрабатывает, даже при отсутствии ранее данного письменного согласия.

В случае несоблюдения новых правил субъект сможет потребовать прекратить передачу персданных принудительно и привлечь оператора к ответственности или обратиться в суд для изъятия своих данных из обработки.

Как не пропустить важные изменения

Следите за изменениями в работе с помощью КонсультантПлюс. Настройте индивидуальный профиль и получайте уведомления о новостях и поправках сразу, как они появляются. Инструкции в системе обновляются сразу после изменений и всегда актуальны. Попробуйте бесплатно 2 дня!

Ответственность операторов

С 01.03.2021 наступает особая ответственность в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц из-за того, что оператор допустил:

  • правонарушение;
  • преступление;
  • действие обстоятельств непреодолимой силы.

В этом случае оператор обязан предоставить доказательства законности последующего распространения или иной обработки персональных данных. Аналогичная обязанность лежит на каждом лице, осуществившем распространение или иную обработку этих данных граждан.

В 1998 году закончила КГАУ, экономический факультет по специальности бухгалтер. В 2006 году ТНУ, юридический факультет по специальности гражданское и предпринимательское право. Опыт работы бухгалтером с 1998 по 2007 год. Пишу статьи с 2012 года

Утверждены новые правила обработки персональных данных

Обработка и распространение персональных данных граждан с 01.03.2021 усложняется. Операторы должны обязательно получать согласие субъектов на все действия и удалять данные, если их владелец установил запрет на их использование.

  • Сокращать ли рабочий день 5 марта
  • Для работодателей установят новую обязанность по размещению вакансий
  • Как и где хранится трудовая книжка работника
  • Как вернуть НДФЛ с платы за обучение
  • Основы делопроизводства: как сокращенно пишется «исполняющий обязанности»

В конце декабря 2020 года официально опубликован Федеральный закон № 519-ФЗ о внесении поправок в Федеральный закон «О персональных данных». Изменения вступят в силу в два этапа:

  • основная часть с 01.03.2021;
  • остальные положения — с 01.07.2021.

Гарантии безопасности для субъектов персональных данных усилены, а их права расширены. Всем операторам до марта необходимо привести документацию в соответствие с новыми правилами, чтобы не попасть на крупные штрафы.

Что изменилось в защите персданных

Глобальных изменений несколько:

  • согласия на обработку персональных данных «по умолчанию» нет, его необходимо оформить документально (исключения — государственный, общественный и публичный интерес);
  • возможность выбора персональных данных для обработки и публикации;
  • возможность установления субъектом запретов на передачу (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, на обработку или условия обработки;
  • субъект вправе запретить использование своих данных и отозвать согласие.

Объединяет новации самое важное — понятия общедоступных персональных данных больше не существует. В новой редакции статьи 3 ФЗ о персданных указано:

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Это значит, что оператор персональных данных обязан получить от их владельца четкое согласие на распространение и обработку. Без такого согласия публиковать их запрещено, даже на корпоративных сайтах. Согласие не обязательно дается в письменном виде, оно может быть электронным или устным, но выраженным четко и с доказательствами. Для упрощения получения операторами согласия владельцев Роскомнадзор запустит специальный реестр-информационную систему, с собранной в ней всей информации о данных или отозванных согласиях, сроках и датах и об объеме персональных данных, подлежащих обработке и распространению. Пока такой ИС нет, она находится в разработке. Возможно ее успеют ввести в работу до марта.

Читайте также:  Что нужно спрашивать при съеме квартиры

Эксперты КонсультантПлюс разобрали, как работать с персданными по новым правилам. Используйте эти инструкции бесплатно.

Согласие и его отзыв

Форму согласия на обработку и распространение персданных утвердит Роскомнадзор, это произойдет отдельным приказом. Главное, о чем следует помнить, что с 01.03.2021 по закону:

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не является согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Нет согласия — нет обработки и публикации. Если субъект дал согласие, а затем решил его отозвать (форму отзыва утвердит Роскомнадзор), оператор обязан не просто прекратить обработку с момента получения уведомления, но и обеспечить исполнение этого требования всеми, кто тоже получил персданные. Срок — три дня. В уведомлении обязательно указывается:

  • фамилия, имя, отчество (при наличии) субъекта;
  • контактная информация (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных;
  • перечень персональных данных, обработка которых подлежит прекращению.

Указанные в требовании персональные данные обрабатываются только оператором, которому оно направлено. Защитить собственные права субъект вправе путем обращения в суд.

Ответственность операторов

Статья 15.5 Федерального закона «Об информации..» позволяет Роскомнадзору блокировать сайты, которые допускают нарушения законодательства в области персональных данных. Происходит это по решению суда. Для владельцев этих сайтов предусмотрена административная ответственность по КоАП РФ.

Положение о персональных данных работников в 2021 году – образец

  • Персональные данные в трудовом праве
  • Обработка данных работодателем
  • Положение об обработке и защите персональных данных работников: содержание и образец
  • Порядок принятия
  • Ответственность работодателя

Персональные данные в трудовом праве

Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).

Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.

В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.

Подробнее о том, что закон относит к персональным данным, читайте в “КонсультантПлюс”. Если у вас еще нет доступа к системе, получите его бесплатно на 2 дня. Или закажите актуальный прайс-лист, чтобы приобрести постоянный доступ.

Обработка данных работодателем

Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:

  • обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
  • ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
  • финансовый источник организации защиты рассматриваемых данных — средства работодателя;
  • не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
  • меры по защите ПД — вопрос совместной деятельности работника и работодателя.

О правилах ведения работы с персональными данными в организации подробнее можно узнать здесь.

Положение об обработке и защите персональных данных работников: содержание и образец

Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.

Закон не устанавливает структуру документа, но практикой выработаны основные разделы, которые желательно указать в положении.

В их число входят:

  1. Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
  2. Перечень сведений, составляющих ПД сотрудников фирмы.
  3. Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
  4. Правила обработки данных.
  5. Порядок получения доступа к ПД тех или иных лиц.
  6. Меры, направленные на защиту обрабатываемых данных.
  7. Права и обязанности сторон правоотношений в области работы с ПД.
  8. Ответственность организации за нарушения в сфере охраны и защиты ПД.

С положением о защите персональных данных работников необходимо ознакомить под расписку.

Образец положения о персональных данных работников можно скачать здесь.

Порядок принятия

Положение об обработке персональных данных работников является локальным актом организации, потому порядок его разработки и утверждения подчиняется общим требованиям ст. 8 ТК РФ, а также внутренним правилам делопроизводства.

Как правило, данный документ разрабатывается кадровой службой или работником, отвечающим за кадровые вопросы на предприятии. Утверждение его осуществляется приказом руководителя или иного лица, уполномоченного работодателем на издание локальных актов в сфере обработки и защиты ПД (например, курирующий заместитель руководителя).

Положение подписывается руководителем организации. Положению присваивается порядковый номер, на нем проставляется дата издания, а также печать (при ее наличии).

Ответственность работодателя

За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:

  • материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
  • дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
  • гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
  • ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
  • уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.
  • под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
  • обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
  • содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
  • Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
  • за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).

Больше полезной информации по теме — в рубрике “Персональные данные”.

Положение о персональных данных работников в 2021 году

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО “Сбербанк-АСТ”. Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Федеральный закон от 30 декабря 2020 г. № 519-ФЗ “О внесении изменений в Федеральный закон «О персональных данных»

Принят Государственной Думой 23 декабря 2020 года

Одобрен Советом Федерации 25 декабря 2020 года

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1.1 следующего содержания:

“1.1) персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;”;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

“9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.”;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

“2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”;

5) дополнить статьей 10.1 следующего содержания:

“Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Читайте также:  Как выбрать стиль интерьера для маленькой гостиной

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.”;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

“3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

“4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;”.

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Президент Российской ФедерацииВ. Путин

30 декабря 2020 года

Обзор документа

Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца, а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие “автоматом” – по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Документы по персональным данным необходимые в 2021 году

Как еще может называться данный документ:

  • Политика обработки персональных данных
  • Политика в отношении обработки данных
  • Privacy policy

Зачем нужен документ:

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Зачем нужен документ:

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

  • Правила обработки персональных данных

Зачем нужен документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Зачем нужен документ:

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Зачем нужен документ:

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

– Постановление Правительства РФ от 01.10.2012 г. №1119
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
– Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

Зачем нужен документ:

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Зачем нужен документ:

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Ссылка на основную публикацию