Положение о работе с персональными данными устанавливает порядок хранения и использования информации, которая помогает идентифицировать личность сотрудников или кандидатов. Формат документа не регулируется законом, но по содержанию он должен соответствовать требованиям ТК РФ. В статье – как составить положение о персональных данных.
|
Содержание
|
|
Пример структуры положения о защите персданных |
Зачем оформлять положение о защите персональных данных
Требования по защите персональных данных установлены ст.14 ТК РФ и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Служба персонала обрабатывает персональные данные не только непосредственно тех физических лиц, с которыми у организации уже заключены трудовые договоры.
Часто это еще и персональные данные:
-
кандидатов на работу;
-
членов семьи, детей и иных родственников работника;
-
стажеров, практикантов;
-
бывших работников;
-
лиц, прибывших в командировку;
-
лиц, с которыми заключены договоры гражданско-правового характера.
Таким образом, каждой службе персонала необходимо составить перечень всех категорий, чьи персональные данные она обрабатывает. В локальном нормативном акте закрепить особенности такой обработки и порядок защиты персональных данных этих категорий.
Согласно статье 88 Трудового кодекса работодатель обязан соблюдать следующие требования:
-
разрешать доступ к персданным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те данные работника, которые необходимы для выполнения конкретных функций;
-
передавать персданные работника представителям сотрудников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми данными работника, которые необходимы для выполнения указанными представителями их функций.
Какое количество локальных актов по обработке и защите ПД субъектов будет у компании – решает сама компания. Возможно, что это будет один ЛНА, в котором будут урегулированы вопросы обработки и защиты ПД всех категорий субъектов (хотя это неудобно), а может быть и несколько. Например, Политика оператора в отношении обработки персональных данных (например, в отношении клиентов организации, ее посетителей, посетителей сайта). Или Положение об обработке и защите персональных данных работников (в отношении соискателей и работников).
| Требования законодательства к локальному акту | Статья нормативного акта | Требование закона | Комментарий |
|
Наименование локального акта |
Абз.5 ст. 88 ТК РФ, ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» |
– |
Законом не установлено |
|
Содержание локального акта |
Ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» |
издание … локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных:
|
Для каждой из целей обработки персональных данных:
|
|
Порядок принятия локального акта |
Абз.5 ст. 88 ТК РФ, ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» |
– |
Нет специальных требований |
|
Обратите внимание! В локальном акте работодателя должен быть перечень должностей, которых допускают к работе с персональными данными. Допуск может быть полный или ограниченный. Ограниченный допуск обеспечивается с учетом того, какие именно персональные данные работников необходимы должностному лицу для выполнения его трудовой функции. |
Что внести в положение о персональных данных
Положение о работе с персональными данными помогает построить работу так, чтобы минимизировать риски штрафов и репутационных потерь компании. Разработка документа начинается с определения целей. Зафиксируйте, какие именно персональные данные вы собираете, для каких целей и от кого: кандидатов, сотрудников, контрагентов.
Важно учитывать, что процесс обработки персональных данных должен быть оправдан и соответствовать принципам законности, добросовестности, целевого назначения, минимизации данных и точности. А в положении о защите персональных данных нужно ссылаться на действующее законодательство – федеральный закон «О персональных данных».
|
В положении указывают:
|
Вы вправе по своему усмотрению дополнять этот внутренний нормативный акт другими разделами. Например, многие компании включают положения, касающиеся ответственности за несоблюдение правил работы с персональными данными и их защиту. В таком случае необходимо четко указать, какие должностные лица несут ответственность за нарушение правил хранения и использования конфиденциальной информации.
Если у компании есть корпоративный сайт и возникает потребность размещать на нем данные сотрудников, целесообразно добавить в положение о персональных данных раздел, регламентирующий условия публикации такой информации.
|
Совет. Полезно создать для сотрудников понятную «Памятку действий по защите персональных данных». Можно представить ее как дружелюбный путеводитель, который объясняет и показывает, как и что делать в нештатных ситуациях. Вместо перечисления статей закона, лучше описать сценарии из реальной жизни компании. Например, так: «если получили подозрительное письмо, сообщите об этом сотруднику по безопасности по номеру горячей линии и дождитесь от него инструкций». |
В положении о персональных данных прописывают все способы их получения, хранения и обработки.
Например, указывают категории обрабатываемых персональных данных:
-
фамилия, имя, отчество;
-
паспортные данные;
-
адрес электронной почты;
-
номер телефона.
Обязательно перечисляют категории субъектов, чьи персональные данные обрабатываются: работники, пользователи сайта, клиенты, партнеры, кандидаты на вакансии.
В документе описывают порядок и условия обработки персональных данных: способы обработки с использованием или без использования средств автоматизации, срок обработки, условия прекращения обработки. Это могут быть достижение целей обработки, отзыв согласия субъектом, истечение срока хранения и другие.
Важно также указать права субъектов персональных данных на:
-
получение информации;
-
уточнение нужных данных;
-
блокирование;
-
уничтожение персональных данных,
-
отзыв согласия на обработку;
-
обжалование действий или бездействия оператора.
Положение о защите персональных данных лучше писать простым и понятным языком. Документ представляет собой внутренние правила по работе с персданными, которые должны легко восприниматься сотрудниками всех категорий. Чтобы всем было понятно, что и как делать в области работы с персональными данными.
|
|
Обратите внимание! При разработке положения о работе с персональными данными недопустимо включать условия, которые ущемляют права сотрудников или возлагают на них обязанности, не предусмотренные законом. Например, нельзя требовать от работника предоставления паспорта в установленный срок после смены фамилии, поскольку Федеральный закон от 27.07.2006 № 152-ФЗ (п. 2 ч. 1 ст. 18.1) прямо запрещает подобное обязательство. |
