Как оформить Положение о защите персональных данных сотрудников

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

• паспортные данные;
  
• семейное положение;
  
• сведения об образовании;
  
• номер страхового свидетельства обязательного пенсионного страхования;
  
• сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку №Т_2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г.№188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

• это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  
• это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника Трудовой кодекс РФ.

В Положении должны быть указаны:

• цель и задачи фирмы в области защиты персональных данных;
  
• понятие и состав персональных данных;
  
• в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  
• как происходит сбор персональных данных;
  
• как они обрабатываются и используются;
  
• кто (по должностям) в пределах фирмы имеет к ним доступ;
  
• как персональные данные защищаются от несанкционированного доступа;
  
• права работника в целях обеспечения защиты своих персональных данных;
  
• ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.

Вот примерный образец приказа:

ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ПРОГРЕСС» 
ПРИКАЗ 
об утверждении Положения о защите 
персональных данных работников 
25 июля 2006 г. № 43 
г. Москва 
ПРИКАЗЫВАЮ: 
1. Утвердить Положение о защите персональных данных работников Закрытого акционерного общества «Прогресс» и ввести его в действие со 2 августа 2006 года. 
2. Контроль за исполнением настоящего приказа оставляю за собой. 
Генеральный директор ЗАО «Прогресс» Кустов /Кустов В.Н./ 
Согласовано: 
Начальник отдела кадров Воеводина /Воеводина Г.И./ 
25 июля 2006 г. 
Юрисконсульт Николаев /Николаев С.П./ 
25 июля 2006 г. 

Положение о защите персональных данных работников может выглядеть так:

ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «ПРОГРЕСС» 
УТВЕРЖДЕНО 
приказ генерального директора 
ЗАО «Прогресс» 
от « 13 » апреля 20 07 г. № 43 
ПОЛОЖЕНИЕ 
о защите персональных данных работников 
г. Москва 
1. ОБЩИЕ ПОЛОЖЕНИЯ 
1.1. Настоящее Положение разработано в целях защиты персональных данных работников Закрытого акционерного общества «Прогресс» (далее – Общество). 
1.2. Настоящее Положение разработано в соответствии с требованиями Трудового кодекса РФ, Федерального закона от 27 июля 2006 г.№152BФЗ «О персональных данных» и определяет систему обработки и защиты персональных данных работника, полученных в процессе хозяйственной деятельности и необходимых в связи с трудовыми отношениями. 
Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. 
Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. 
2. ПЕРЕЧЕНЬ ДОКУМЕНТОВ И СВЕДЕНИЙ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА 
2.1. В соответствии с Трудовым кодексом РФ лицо, поступающее на работу в Общество, предъявляет работодателю следующие документы, содержащие его персональные данные: 
– паспорт или другой документ, удостоверяющий личность, который содержит сведения о его паспортных данных, месте регистрации (месте жительства), семейном положении; 
– трудовую книжку, которая содержит сведения о трудовой деятельности работника; 
– страховое свидетельство государственного пенсионного страхования, которое содержит сведения о номере и серии страхового свидетельства; 
– свидетельство о постановке на учет в налоговом органе, которое содержит сведения об идентификационном номере налогоплательщика; 
– документ об образовании, квалификации или наличии специальных знаний, содержащий сведения об образовании, профессии; 
– документы воинского учета, которые содержат сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу. 
2.2. В перечень документов и сведений, содержащих персональные данные, включаются: 
– трудовой договор; 
– сведения о состоянии здоровья; 
– сведения о заработной плате. 
3. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ГАРАНТИИ ИХ ЗАЩИТЫ 
3.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучения и продвижения по службе, обеспечения личной безопасности работника, сохранности имущества, контроля количества и качества выполняемой работы. 
3.2. Все персональные данные работника передаются им лично. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан уведомить об этом работника заранее и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных. 
3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и других убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия. 
3.4. Работодатель не имеет права получать и обрабатывать данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами. 
3.5. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. 
3.6. Защита от неправомерного использования персональных данных работника обеспечивается работодателем за счет собственных средств в порядке, установленном федеральным законом. 
3.7. Работник должен быть ознакомлен с настоящим Положением под роспись. 
4. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА 
4.1. Персональные данные работника хранятся после автоматизированной обработки на электронном носителе и в бумажном варианте в личном деле сотрудника. 
4.2. Персональные данные в бумажном варианте хранятся в сейфе. Ключ от сейфа хранится у генерального директора. 
4.3. Персональные данные на электронных носителях хранятся в программе «1С:Зарплата и кадры». Доступ к программе имеют генеральный директор и начальник отдела персонала. Вход в программу осуществляется только при введении личного пароля пользователя. 
4.4. Допуск к персональным данным работника разрешен только тем должностным лицам, которым персональные данные необходимы в хозяйственной деятельности согласно Списка специально уполномоченных лиц (приложение 1). 
4.5. От работников, ответственных за хранение персональных данных, а также работников, владеющих персональными данными в силу своих должностных обязанностей, берутся обязательства о неразглашении конфиденциальной информации о персональных данных работников. 
4.6. Внешний доступ к персональным данным работников имеют контрольно-ревизионные органы при наличии документов, на основании которых они проводят проверку. Дистанционно персональные данные работников могут быть представлены контрольно-надзорным органам только по письменному запросу. Страховые фонды, негосударственные пенсионные фонды, другие организации, а также родственники и члены семьи работника не имеют доступа к персональным данным работника, за исключением наличия письменного согласия самого работника. 
4.7. Автоматизированная обработка и хранение персональных данных работников допускаются только после выполнения всех основных мероприятий по защите информации. 
4.8. Помещения, в которых хранятся персональные данные работников, должны быть оборудованы надежными замками и системой сигнализации. 
5. ПРАВИЛА ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ 
5.1. При передаче персональных данных работника ответственный за хранение персональных данных должен соблюдать следующие требования: 
– не сообщать персональные данные работника без его письменного согласия, кроме случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом; 
– предупреждать лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; 
– не сообщать персональные данные работника в коммерческих целях; 
– не запрашивать информацию о состоянии здоровья работника, кроме тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. 
5.2. Работодатель вправе осуществлять передачу персональных данных работника в пределах одной организации в соответствии с данным Положением, с которым работник ознакомлен под расписку. 
5.3. Работодатель вправе передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций. 
6. ПРАВА РАБОТНИКА В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У РАБОТОДАТЕЛЯ 
Работник имеет право: 
– на полную информацию о своих персональных данных и обработке этих данных; 
– на свободный бесплатный доступ к этим данным, включая право на получение копий любой записи, содержащей персональные данные работника; 
– на требование об исключении или исправлении неверных или неполных персональных данных, обработанных с нарушением Трудового кодекса РФ и настоящего Положения; 
– на требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, о всех произведенных в них исключениях, исправлениях или дополнениях; 
– на определение своих представителей для защиты своих персональных данных; 
– на обжалование в суд неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника. 
7. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ 
7.1. За нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, виновные лица несут ответственность в соответствии с федеральными законами: 
– дисциплинарную; 
– административную; 
– гражданско-правовую; 
– уголовную. 
7.2. Работник, представивший работодателю подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность вплоть до увольнения. 
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 
8.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором и вводится в действие его приказом. 
8.2. Положение обязательно для всех работников Общества. 
Согласовано: 
Главный бухгалтер Воронова /Воронова Е.Л./ 
Начальник отдела кадров Воеводина /Воеводина Г.И./ 
Юрисконсульт Николаев /Николаев С.П./ 

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике.

Помимо кадровиков доступ к этим сведениям могут получить руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Оформляют приложение так:

Приложение 1 
к Положению о защите персональных данных 
25 июля 2006 г. 
г. Москва 
СПИСОК 
специально уполномоченных лиц 
в получении персональных данных работников 
№ 
Ф. И. О. 
Должность 
1 
Воеводина Г.И. 
начальник отдела персонала 
2 
Кулешова И.А.
специалист по кадровому делопроизводству 
3 
Федосеева Н.Н.
главный бухгалтер
4 
Решетов А.Ф. 
начальник производственного отдела
5
Николаев С.П. 
юрисконсульт 
Генеральный директор ЗАО «Прогресс» Кустов /Кустов В.Н./ 

Правила ознакомления сотрудников с Положением о персональных данных

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом.

Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

РАСПИСКА 
Я, Соколов Алексей Петрович, ознакомлен с Положением о персональных данных работника, права и обязанности в области защиты персональных данных мне разъяснены. 
Соколов 
8 августа 2006 г.