Можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников. Разграничение доступа к персональным данным работников Доступ к персональным данным работников
1. Общие положения
- Настоящим Положением определяется порядок обращения с персональными данными работников ООО «Сентябрь» (далее - Общество).
- Цель настоящего Положения - упорядочение обращения с персональными данными работников Общества, а именно соблюдение законных прав и интересов Общества и его работников при получении, систематизации, хранении и передаче сведений, составляющих персональные данные.
- Персональные данные работника - любая информация, относящаяся к конкретному работнику и необходимая Обществу в связи с трудовыми отношениями.
- Сведения о персональных данных относятся к категории конфиденциальных и составляют охраняемую законом тайну Общества. Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральным законодательством Российской Федерации.
- Термины и основные понятия
- В настоящем Положении используются следующие основные термины и понятия:
- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику.
- Состав персональных данных работников
- При заключении трудового договора лицо, поступающее на работу, предъявляет:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета - для лиц, подлежащих воинскому учету;
- документ об образовании и (или) квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
- При оформлении работника секретарь заполняет личную карточку работника, в которой отражает следующие данные:
- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства;
- контактный телефон.
- У секретаря Общества создаются и хранятся следующие документы, содержащие персональные данные работников:
- документы, сопровождающие процессы оформления трудовых отношений с работниками (прием, перевод, увольнение);
- материалы по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
- подлинники и копии приказов по личному составу и основания к ним;
- трудовые книжки работников;
- дела, содержащие материалы аттестаций работников;
- дела, содержащие материалы внутренних расследований;
- экземпляры и копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- положения о структурных подразделениях;
- должностные инструкции работников;
- документы планирования, учета, анализа и отчетности по вопросам кадровой работы.
- Обработка персональных данных работников
- Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.
- Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
4.3. Обработка персональных данных работников работодателем без их согласия возможна исключительно в следующих случаях:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законодательством Российской Федерации.
- Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья (за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции), интимной жизни.
- Работники и их представители должны быть ознакомлены под роспись с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
- Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5. Передача персональных данных
5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством Российской Федерации;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
5.2. Персональные данные работников обрабатываются и хранятся у секретаря Общества.
5.3. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
6. Доступ к персональным данным работников
6.1. Право доступа к персональным данным работников имеют:
- руководитель Общества;
- секретарь
- главный бухгалтер;
- руководители структурных подразделений по направлению деятельности (относительно только работников своего подразделения).
6.2. Работник Общества имеет право:
6.2.1. Получать доступ к своим персональным данным и осуществлять ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
6.2.2. Требовать от работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для работодателя персональных данных.
6.2.3. Получать от работодателя:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6.2.4. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
6.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
7. Ответственность за нарушение норм,
регулирующих обработку персональных данных
7.1. Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.2. Руководитель Общества за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
С положением ознакомлены:
(Личные подписи всех работников предприятия с расшифровкой и указанием даты ознакомления)
Федеральный Закон постоянно совершенствуется и меняется, чтобы наши свобода и права, а также частная жизнь были всегда защищены, а все подступы к персональным данным охранялись тысячью замками. Но что же это такое – персональные данные? Что находится в общем доступе и кто имеет право запрашивать их? Есть ли закон, регулирующий неразглашение личных данных?
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :
Что относится к персональным данным?
Физического лица
К ПД простых граждан относятся:
- информация о месте и дате рождения;
- местожительство;
- данные, изложенные в паспорте;
- СНИЛС;
- льготы физлица.
Работника
К ПД работника относится та информация, которая важна для работодателя в связи с трудоустройством.
Стоит также отметить, что на законодательном уровне до сих пор не урегулировали момент, который касается управления личных дел сотрудников, поэтому чаще всего на практике работодателем в них включаются полные сведения .
А именно:
- данные, указанных в паспорте;
- СНИЛС;
- воинский учет;
- имеющееся образование;
- заполненная анкета, которая выдается сотруднику при трудоустройстве;
- договоре о трудоустройстве.
ПД физиологического характера , которые позволяют оператору определить личность их владельца.
Заграничное распространение ПД . Такой вид распространения информации можно разделить на три типа:
- страны, относящиеся к Конвенции Совета Европы (КСЕ);
- страны, не относящиеся к КСЕ, но осуществляют комплекс мер, направленный на защиту прав о ПД;
- страны, относящиеся к КСЕ и не осуществляют комплекс мер, направленный на защиту прав о ПД.
Если данные передаются последней группе, то необходим законный предлог, подкрепленный законом, или согласие владельца, или серьезный повод для сохранения интересов самого владельца.
Передача ПД в государственные информационные системы и муниципальные информационные системы. Здесь обработка проходит согласно функционирующим ФЗ.
Обработка ПД при политических выступлениях или при продвижении каких-либо товаров, услуг или работ. Ограничения, контролируемые ФЗ: несмотря на приобретение информации из источников, которые являются публичными, нужно указание на соглашение владельца, изложение которого возможно и не в письменном виде.
Специальные категории
Согласно ФЗ от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) «О персональных данных» категории ПД разделяются на четыре группы:
- Не разрешена обработка данных, которые так или иначе затрагивают тему религии, политических воззрений, личной жизни, национальности, не считая тех отдельных моментов, которые указаны в пункте 2.
- Обработка ПД, перечисленных в пункте 1, допускается.
Но при условии, если:
- на обработку ПД получено письменное разрешение от их владельца;
- они общедоступны;
- ПД связаны с информацией, касающейся здоровья их владельца, и доступ к ним в настоящий момент нужен для сохранения его жизнедеятельности;
- она необходима при осуществлении судебных мер;
- она происходит из-за вступления в силу законодательства РФ о безопасности и розыскной деятельности.
Какие являются общедоступными?
Сам факт включения ПД в категорию «общедоступных» возможен только после письменного соглашения их владельца.
К данным общего доступа могут относиться (с учетом пункта 1) следующее:
- Год и место рождения;
- местожительство и др.
При утрате индивидуальности ПД в разрешении их владельца во внесение сведений в общий доступ нет необходимости. Все сведения изымаются из общего доступа ПД по требованию самого владельца или по решению суда, а также других госорганов.
Информационная система персональных данных и оператор – что это?
Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.
Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД , он же определяет ее цель, необходимость и состав.
Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором . И только у них может быть разрешение, допускающее их к данным.
Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.
Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.
Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор .
Средства защиты и охраны персональных данных
Надежность ПД обеспечивается:
- установлением рисков при обработке ПД в ИС;
- постоянное использование технических и организационных мер для установления защищенности, согласно установленным Правительством РФ уровням безопасности;
- процедура совершенствования средств и результативности защиты;
- постоянное рассмотрение машинных носителей ПД;
- мгновенное установление неразрешенного проникновения;
- восстановление ПД, которые были заражены вирусом или уничтожены при взломе базы данных;
- фиксация и учет всех действий, которые совершаются в ИС;
- используется сотрудничество с вневедомственной охраной;
- база данных защищена паролями, известными только людьми, у которых есть право доступа;
Образец согласия на предоставление персональных данных
Предоставление ПД – действия определенного характера, благодаря которым раскрываются ПД какому-либо лицу или группе лиц.
Если вам необходимо составить согласие о предоставлении своих ПД , то в письменной форме вы должны указать следующее:
- ФИО, местожительства, данные, изложенные в паспорте;
- ФИО и местожительства представителя владельца ПД, данные, изложенные в паспорте, доверенность;
- наименование или ФИО оператора, который получает согласие;
- цели, из-за которых производится обработка ПД;
- перечень ПД, на доступ к которым вы даете согласие;
- наименование или ФИО и адрес того, кто по назначению оператора будет обрабатывать данные;
- период, на протяжении которого будет действовать разрешение на доступ к сведениям их владельца;
- подпись владельца ПД.
Отказ в предоставлении третьим лицам
ФЗ-N152 «О персональных данных» начал действовать с 2006г. , но полный отчет о своих ПД в обязательном порядке нужно было предоставлять с 2010г, когда был принят ФЗ-№210 «Об организации предоставления государственных и муниципальных услуг».
И если теперь вы получаете звонки от банков и коллекторов, которые никак не оставят в покое не только вас, но и ваших родственников, а также коллег, то пора отозвать согласие на обработку ПД. Конечно, они уже были переданы этим организациям, но данный шаг поможет вам спугнуть вымогателей.
Имейте в виду, что заявление нужно отправить не только на фактический адрес отделения банка, в котором вы брали кредит, а также на юридический адрес.
Отправляйте заявление заказным письмом: так у вас будет уведомление о получении. Указывайте адрес, который был вами прописан при заключении кредитного договора.
Приложите к отказу свою копию паспорта и кредитного договора : это поможет быстро найти ваши документы организацией и внести в них соответствующие изменения.
Но не забывайте, что каждая ситуация требует индивидуальных мер. В некоторых из них необходимо сотрудничество с соответствующими органами, например, с полицией.
Согласно ст.24 ФЗ N 261-ФЗ, лица, которые виновны в причинении вреда морального характера владельцу ПД при нарушении закона обработки и хранении их, обязаны нести уголовную ответственность за разглашение и распространение, а именно возместить моральный ущерб, вдобавок к имущественным, а также убыткам, которые понес владелец ПД.
Образец заявление на отзыв персональных данных скачивайте .
Изменение персональных данных работника
Заявление работника о внесении изменений в документы
Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить , в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.
Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.
К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.
Приказ о внесении изменений в документы
Никакой необходимости составления работодателем об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам) .
Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.
Уведомление об обработке персональных данных
Очень частой ошибкой операторов производить уведомление об обработке ПД, когда можно было этого не делать. И если вы всё-таки решили уведомить Роскомнадзор, то вот несколько рекомендаций:
- Очень внимательно ознакомьтесь с ч.2 ст.22 ФЗ РФ от 27.07.06г. N 152-ФЗ «О персональных данных».
- Посмотрите на данные, которые обрабатываются у вас. Некоторые случаи потребуют от вас корректировки с носителями ПД.
Одна из причин, по которой можно не уведомлять об обработке ПД, указана в п.2 ч.2 ст.22 ФЗ и выглядит следующим образом:
Возьмем в пример установление деловых отношений с физлицом для выполнения услуги. Чтобы дать понять, что всё готово и вам не пришлось просто так ехать несколько десятков километров, предусмотрительно мастер взял ваш номер телефона для оглашения радостной новости. И в этом случае в договоре обязательно должно быть прописано «Мастерская обязуется уведомить клиента по телефону **** о выполнении услуги».
Как защитить свои персональные данные узнаете из видео:
Являются все сведения об образовании, трудовом стаже, социальных льготах, семейном положении, а также постановке на воинский учет. Во время того, когда человек заполняет анкеты для принятия на работу, то он указывает свои паспортные данные, адрес прописки и проживания, информацию о членах семьи, номер телефона, сведения об отсутствии судимостей.
Все заполненные документы, которые имеют такие факты считаются конфиденциальными, но вот гриф ограниченного пользования не проставляется. Доступ к персональным сведениям может быть у работодателя , но только для того, чтобы он имел представление об участнике трудового соглашения.
Руководитель того или иного предприятия не имеет права запрашивать те факты, которые не относятся к конкретной должности. Доступ к личным сведениям сотрудника может предоставляться только по разрешению самого работающего субъекта.
Кто имеет допуск?
Предоставление доступа к личной информации сотрудника включает в себя множество действий и правил. Можно получить доступ на постоянной или же временной основе.
Для того, чтобы оформить постоянный доступ к личным сведениям, нужно сформировать целый список лиц, которым просто необходима эта информация для дальнейшего выполнения служебных обязанностей. К ним относят:
- непосредственного руководителя;
- заместителя директора;
- работника кадрового отдела.
Временный доступ предоставляется только в том случае, когда запрашивается информация для производственных заданий. Без личной информации о сотруднике в этом деле вообще нельзя обойтись. Доступ предоставляется только в том случае, если правильно составлена .
Работодатель обеспечивает полную секретность всех получаемых фактов о сотруднике . Обработкой и сбором персональных данных занимаются работники кадрового отдела, у которых входит в обязанности сохранение конфиденциальности (подробнее об обязательствах неразглашения и других документах читайте ).
Важно! Использование информации за пределами трудовой организации или же без ведома работника запрещается.
Все данные, которые характеризуют человека, как работника, не могут являться истребованными или же передаваться совершенно посторонним личностям.
Пошаговые инструкции
Затребование дополнительных сведений
- Работодатель запрашивает факты о состоянии здоровья сотрудника, когда это имеет отношения к трудовой деятельности.
- Информация запрашивается для перевода работника на другое место, с благоприятными условиями.
- Нужно ввести факты только в нужном объеме, для выполнения предусмотренных функций.
Передача необходимой информации третьим лицам
Персональные факты сотрудника могут быть переданы как внутри организации, так и за ее пределы, но только по согласию работника. Конфиденциальность полностью предусматривается, а также действует защита от разглашения третьим лицам. Стоит отметить, что исключением в этом вопросе будет только необходимость передать сведения с целью предупреждения угрозе жизни человека.
Подробнее о том, что такое положение о защите персональных данных работника, читайте .
- Собирается вся информация по поводу состояния здоровья работника.
- Работодатель указывает данные сотрудника только в том объеме, которое необходимо для принятия того или иного решения.
- Эти данные передаются в соответствующие органы, но только с разрешением владельца.
При несчастном случае работодатель должен в обязательном порядке передать все необходимые факты ряду государственных органов.
Если были нарушены правила доступа к персональным сведениям, то нарушитель может быть привлечен к дисциплинарной ответственности . Нередко применяются взыскания, замечания, выговоры или увольнение. Такое наказание может быть применено для тех сотрудников, которые обязаны соблюдать правила работы с личной информацией.
Если работник дал и разглашение собственной информации, то дисциплинарную ответственность кадровик и работодатель не несет.
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27.07.2006 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами.
1.2. Настоящее Положение определяет порядок обработки персональных данных работников «ВАША ОРГАНИЗАЦИЯ» (далее Организация) и гарантии конфиденциальности сведений, предоставляемых работником работодателю.
1.3. Персональные данные работника являются конфиденциальной информацией.
2. Понятие и состав персональных данных работника
2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
К персональным данным работника относятся:
Фамилия, имя, отчество, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;
данные о семейном, социальном и имущественном положении;
данные об образовании работника, наличии специальных знаний или подготовки;
данные о профессии, специальности работника;
сведения о доходах работника;
данные медицинского характера, в случаях, предусмотренных законодательством;
данные о членах семьи работника;
данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;
иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.
3. Обработка персональных данных работника
3.1. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами работодателя.
3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 ФЗ РФ «О персональных данных», обработка персональных данных осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.
Получение
3.4. Все персональные данные о работнике работодатель может получить у него самого.
3.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.6. В случаях, когда работодатель может получить необходимые персональные данные работника только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме (Приложение 1).
Работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.
Хранение персональных данных работника
3.7. Персональные данные работника хранятся в отделе кадров в личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу.
Персональные данные работника в отделе кадров хранятся также в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечиваются системой паролей. Пароли устанавливаются начальником отдела кадров и сообщаются индивидуально сотрудникам отдела кадров, имеющим доступ к персональным данным работников.
Примечание: Хранение персональных данных работников в бухгалтерии и иных структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.
3.8. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные работников (соблюдение «политики чистых столов»).
при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое локальным актом Организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
Примечание: В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
Использование (доступ, передача, комбинирование и т.д.) персональных данных работника
3.9. Доступ к персональным данным работника имеют сотрудники работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение 2).
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Организации, доступ к персональным данным работника может быть предоставлен иному работнику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации, и которым они необходимы в связи с исполнением трудовых обязанностей.
3.10. В случае если работодателю оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников Организации, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.
3.11. Процедура оформления доступа к персональным данным работника включает в себя:
ознакомление работника под роспись с настоящим Положением.
Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление работника под роспись.
истребование с сотрудника (за исключением руководителя Организации) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 3).
3.12. Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных трудовых функций.
3.13. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в организации следующие должности:
руководитель Организации;
заместитель руководителя Организации;
главный бухгалтер;
работники отдела кадров;
инженеры-программисты отдела информационных технологий;
начальники структурных подразделений – в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях.
3.14. Допуск к персональным данным работника других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.
3.15. Работник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Работник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
3.16. Отдел кадров вправе передавать персональные данные работника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.
При передаче персональных данных работника, сотрудники отдела кадров предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11. настоящего Положения.
3.17. Передача (обмен и т.д.) персональных данных между подразделениями работодателя осуществляется только между сотрудниками, имеющими доступ к персональным данным работников.
Доступ к персональным данным работника третьих лиц (физических и юридических)
3.18. Передача персональных данных работника третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме (Приложение 4) и должно включать в себя:
фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование и адрес работодателя, получающего согласие работника;
цель передачи персональных данных;
перечень персональных данных, на передачу которых дает согласие работник;
срок, в течение которого действует согласие, а также порядок его отзыва.
Примечание: Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
3.19. Не допускается передача персональных данных работника в коммерческих целях без его письменного согласия, оформленного по установленной форме (Приложение 5).
3.20. Сотрудники работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме (Приложение 6), и должен содержать следующие условия:
уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:
договора на оказание услуг Организации;
соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Организации несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.
3.21. Представителю работника (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
нотариально удостоверенной доверенности представителя работника;
письменного заявления работника, написанного в присутствии сотрудника отдела кадров работодателя (если заявление написано работником не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в отделе кадров в личном деле работника.
3.22. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
3.23. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.
3.24. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
4. Организация защиты персональных данных работника
4.1. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем.
4.2. Общую организацию защиты персональных данных работников осуществляет начальник отдела кадров.
4.3. Начальник отдела кадров обеспечивает:
ознакомление сотрудника под роспись с настоящим Положением.
При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление сотрудника под роспись.
истребование с сотрудников (за исключением лиц, указанных в пункте 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки.
общий контроль за соблюдением сотрудниками работодателя мер по защите персональных данных работника.
4.4. Организацию и контроль за защитой персональных данных работников структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
4.5. Защите подлежит:
информация о персональных данных работника;
документы, содержащие персональные данные работника;
персональные данные, содержащиеся на электронных носителях.
4.6. Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
5. Заключительные положения
5.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных работника, определяются также должностными инструкциями.
5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
5.3. Разглашение персональных данных работника Организации (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные работника, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Организации, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Сотрудник работодателя, имеющий доступ к персональным данным работника и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).
5.4. Сотрудники работодателя, имеющие доступ к персональным данным работника, виновные в незаконном разглашении или использовании персональных данных работников работодателя без согласия работников из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.
Приложение 1 - Письменное согласие работника на получение его персональных данных у третьей стороны
Приложение 2 - Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации и которым они необходимы
Дежурный бюро пропусков
Приложение 3 - Обязательство о соблюдении режима конфиденциальности персональных данных работника
Приложение 4 - Письменное согласие работника на передачу его персональных данных третьей стороне
Приложение 5 - Письменное согласие работника на передачу его персональных данных в коммерческих целях
Приложение 6 - Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные работника
Как поступить, чтобы не нарушить закон о персональных данных - возникла такая ситуация: заведующий Лабораторией захотел ознакомиться с личным листком подчиненного ему сотрудника, в котором содержаться, соответственно, персональные данные этого сотрудника. Должен ли специалист Отдела кадров предоставить заведующему Лабораторией личный листок его подчиненного или только директор учреждения должен знать личную информацию о сотрудниках? Спасибо.
Ответ
Ответ на вопрос:
Таким образом, заведующий лабораторией подчиненного, если соответствующий установлен в локальном нормативном акте и сотрудника на обработку его персональных данных, и только в том случае, если это необходимо для выполнения заведующим его должностных обязанностей.
С уважением и пожеланием комфортной работы, Юлия Месхия,
эксперт Системы Кадры
Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.
Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.
Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.