' fill='%23d91920'%3E%3Cpath fill-rule='evenodd' d='M0 4.996v3.203h3.428v16.789H6.43V4.996H0zm11.115 19.991H7.993V3.332H3.428V.002h7.687v24.985zm15.63-8.486c-.224 0-1.404-.008-1.622-.028-.369-.033-.905-.092-1.249-.176-.388-.111-.753-.257-.917-.353-1.153-.665-1.938-1.964-1.938-3.461 0-2.178 1.654-3.943 3.698-3.943 2 0 3.626 1.696 3.691 3.815h2.98c-.062-3.873-3.023-6.993-6.671-6.993-3.69 0-6.681 3.187-6.681 7.121 0 2.773 1.491 5.17 3.663 6.343.334.208.962.427 1.142.477.613.172 1.436.29 2.104.341.248.021 1.456.032 1.712.034v.005h21.415v-3.18H26.745zm-1.8 5.173c-.929-.065-2-.239-2.845-.5a13.63 13.63 0 0 1-.98-.387c-2.941-1.453-4.991-4.625-4.991-8.304 0-5.048 3.851-9.157 8.588-9.157 4.694 0 8.518 4.041 8.583 9.03h3.102C36.338 5.542 31.122.02 24.717.02c-6.445 0-11.689 5.591-11.689 12.462 0 4.738 2.498 8.858 6.158 10.963a13.61 13.61 0 0 0 1.93.862c1.042.332 2.322.55 3.463.644.386.031 1.737.047 2.131.049h21.364v-3.295H26.745c-.283 0-1.522-.012-1.8-.032z'/%3E%3Cpath d='M42.555 4.232c-.929 0-1.73-.779-1.73-1.84 0-1.009.801-1.807 1.73-1.807s1.725.799 1.725 1.807c0 1.061-.796 1.84-1.725 1.84zm0-3.997c-1.125 0-2.057.956-2.057 2.157s.932 2.193 2.057 2.193c1.16 0 2.056-.994 2.056-2.193S43.715.235 42.555.235zm.097 2.035h-.441v-.679h.378c.261 0 .439.087.439.349 0 .138-.064.33-.376.33zm.686.712c0-.242-.033-.467-.293-.555a.48.48 0 0 0 .358-.487c0-.557-.474-.628-.669-.628h-.897v2.157h.374v-.886h.295c.423 0 .459.208.459.399 0 .368 0 .437.081.487h.375c-.082-.087-.05-.156-.082-.487z'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='A'%3E%3Cpath fill='%23fff' d='M0 0h48.077v25H0z'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E){kind=small}
Содержание
Если у вас есть сотрудники, вы – оператор персональных данных. А значит, отвечаете за безопасность личной информации нанятых физических лиц. Прежде всего нужно разработать локальный нормативный акт, устанавливающий правила обработки таких данных. Расскажем, как это сделать.
Основные понятия и правовая база
Главный регулирующий закон в рассматриваемой сфере – закон «О персональных данных» № 153-ФЗ от 27.07.2006. Из статьи 3 этого документа следует:
- Персональные данные (ПД) – любая информация, по которой можно определить конкретного человека.
- Любой работодатель становится оператором персональных данных и занимается их обработкой.
Примечание. ПД не обязательно указывают на человека напрямую. Например, если в отношении работника небольшой компании написать «бухгалтер, 45 лет, живёт на улице Ленина» – скорее всего, все поймут, о ком речь, хотя имя человека не сообщалось.
Может показаться, что обработка данных – это что-то сложное, связанное с компьютерами. На самом деле это любые действия с информацией о человеке. Например, рассмотрение документов при оформлении на работу, внесение данных в кадровую программу, передача информации в налоговую или банк для выплаты зарплаты и многое другое.
Важно! Закон обязывает компании соблюдать требования при работе с персональными данными как работников, так и других физлиц, например, покупателей и контрагентов. В этой публикации мы рассмотрим ЛНА, который относится только к сотрудникам, поскольку это касается любого работодателя.
Обязанность разработать и утвердить Положение о работе с персональными данными нанятых физлиц следует из пп. 2 п. 1 ст. 18.1 закона № 153-ФЗ, а основные требования к работе с ними изложены в ст. 86 ТК РФ.
В каждой организации должен быть человек, отвечающий за порядок обработки ПД и подчиняющийся непосредственно руководителю. Это может быть специалист по кадрам, заместитель директора или любой другой сотрудник, уполномоченный на это приказом руководителя.
Правила работы с данными
Перед разработкой Положения о работе с персональными данными важно понимать, что можно делать с ПД, и с какими именно. Вот главные правила:
- Собирайте только те данные, которые действительно нужны для работы. Нельзя требовать от сотрудника информацию «про запас».
- Получать сведения нужно напрямую от работника. Если вам необходимо взять их у третьих лиц (например, с предыдущего места работы), обязательно получите письменное согласие сотрудника.
- Нельзя собирать специальные категории ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, личной жизни, если это напрямую не связано с работой.
- Нельзя принимать решения о сотруднике только на основе автоматической обработки его данных. Компьютер может помогать, но окончательное решение должен принимать человек.
- Все сотрудники должны знать, как в компании защищается их информация. Ознакомьте их с ЛНА по ПД под подпись.
При работе с персональными данными работников не требуется их согласие только в случаях, если без этого работодатель не может реализовать свои обязанности. Либо если без этого невозможно выполнить условия договора, заключенного между компанией и нанятым физлицом. Например, работодатель должен передавать в ФНС личные данные работника, включая дату рождения, реквизиты паспорта и другие. Это необходимо для целей страхования. Или секретарь оформляет билет на поезд сотруднику, который направлен в командировку, и предоставляет его ФИО и паспортные данные в РЖД.
Важно! В остальных случаях, то есть когда обработка данных не связана с обязанностями компании или договором между сторонами, ее можно проводить только с согласия сотрудника. Например, если бухгалтерия или кадровое сопровождение передается на аутсорсинг.
Подготовка Положения
При составлении любого ЛНА проще руководствоваться каким-либо шаблоном, чем разрабатывать все «с нуля». Законодатели не утвердили типовой формы документа в сфере обработки ПД сотрудников, однако на сайтах региональных управлений Роскомнадзора встречается примерная форма Положения. И хотя она не первой свежести, все же можно в 2024-2025 годах взять ее за базовый образец. Большинство вариантов ЛНА от частных компаний, которые можно найти в интернете, по своей структуре схожи с этим примерным Положением.
Этот типовой вариант нужно подкорректировать под свой случай. Что-то, скорее всего, придется убрать. Например, в тексте есть упоминание о том, что на работника заводится карточка Т-2, но сейчас вести ее работодатели не обязаны. И если карточка на практике не заводится, упоминание о ней нужно убрать. То же самое касается и используемого ПО.
Рекомендуется добавить в документ о порядке работы с персональными данными конкретику, связанную с вашей компанией. А именно, указать структурные подразделения и должностных лиц, обладающих доступом к ПД, а также типы сведений, к которым он предоставляется. Это зависит от того, для чего нужны данные.
В таблице ниже приведем конкретные примеры, чтобы было понятно, о чем речь.
|
Подразделение компании |
Примеры данных, к которым может понадобиться доступ |
|---|---|
|
Кадровая служба
|
ФИО, должность, ИНН, СНИЛС, дата рождения, реквизиты паспорта и документов воинского учета (если есть), данные диплома или документа, подтверждающего образование, квалификацию, сведения о трудовой деятельности и другое |
|
Бухгалтерия |
ФИО, должность, ИНН, СНИЛС, стаж работы (для расчета больничного), банковские реквизиты (для перечисления выплат), сведения о детях (для стандартного вычета) и другое |
|
Охрана труда |
ФИО, должность, сведения о здоровье |
|
Руководители подразделений |
ФИО, должность, сведения об образовании и квалификации – в отношении лиц, которые им подчиняются |
|
Секретариат |
ФИО, должность, паспорт, иные данные в зависимости от полномочий секретаря |
|
Личные помощники |
ФИО, должность, адрес, дата рождения, паспорт, сведения о семье и другая информация – в зависимости от обязанностей помощника |
|
Служба безопасности |
ФИО, должность, паспортные данные, адрес |
|
Бюро пропусков |
ФИО, должность, часто фотография* |
|
Любой сотрудник компании |
ФИО, должность, иногда – дата рождения (если в компании принято поздравлять коллег) |
|
IT-специалист / отдел |
Все сведения, которые хранятся в цифровом виде |
*Фотография – это биометрические персональные данные. В соответствии с п.1 ст. 11 закона 153-ФЗ, обрабатывать их можно только согласия человека в письменной форме. Так что если хотите сделать пропуски с фото или разместить изображение работников на сайте, обязательно возьмите с них письменное согласие на это.
Важно! Составляя списки должностей / подразделений и типов ПД, которые они могут обрабатывать, помните, что собирать нужно лишь необходимые данные.
Какие разделы включить в Положение
Обычно в Положении о ПД выделяют такие блоки:
- Общие положения. Описывают цели и назначение ЛНА, сферу применения, лица, на которых оно распространяется, упоминают нормативно-правовую базу.
- Термины и определения. Дают четкие определения понятий, таких как «персональные данные», «обработка данных» и других. Посмотреть их можно в ст. 3 закона 153-ФЗ.
- Состав персональных данных работников и обрабатывающих их подразделений / должностных лиц.
- Порядок работы с персональными данными работников – их сбора, обработки и защиты. Регламентируют процедуры получения данных от работников, в том числе их согласие на обработку. Описывают меры по обеспечению безопасности и конфиденциальности данных. Определяют права и обязанности работодателя и работников в сфере обработки ПД.
- Порядок передачи и хранения данных. Устанавливают правила передачи ПД третьим лицам, регламентируют процедуры хранения, архивирования и уничтожения данных.
- Права работников в области защиты персональных данных. Закрепляют права работников на доступ к своим ПД, на их уточнение / исправление / удаление и описывают порядок реализации этих прав.
В качестве приложений к Положению можно разработать формы согласия работника:
- на обработку его персональных данных;
- на передачу ПД третьим лицам (например, бухгалтерской компании);
- на получение его ПД от третьих лиц (например, из поликлиники о состоянии здоровья для подбора подходящей трудовой деятельности).
Утверждение и ознакомление
Когда ЛНА готов, издайте приказ об утверждении Положения о работе с персональными данными сотрудников. Форма документа свободная. В приказе руководитель в целях исполнения ТК РФ и закона № 153-ФЗ утверждает Положение, распоряжается ввести его в действие с указанной даты, а также ознакомить с ним всех сотрудников. Изменения вносятся в документ в таком же порядке.
Итак, мы рассказали про Положение о порядке работы с ПД работников. Этот документ должен четко определять, кто и что может делать с личной информацией физлиц. Но мало разработать ЛНА – его нужно соблюдать. За несоблюдение требований к защите персональных данных в ст. 13.11 КоАП прописаны штрафы, которые для организаций и ИП исчисляются десятками, а в отдельных случаях и сотнями тысяч рублей. Помимо этого, предусмотрены штрафы и для должностных лиц.