Главная-Оплата услуг-Локальные акты по обработка персональных данных. Защита персональных данных работников: локальные нормативные акты

Локальные акты по обработка персональных данных. Защита персональных данных работников: локальные нормативные акты

При составлении локальных нормативных актов работодателям нередко приходится учитывать требования не только трудового законодательства, но и иных федеральных законов и нормативных правовых актов ().

За последний год было принято несколько актов, в том числе и судебных, которые могут напрямую повлиять на позицию проверяющих органов. Разберемся, наличие каких положений следует проверить в локальных актах и включить их туда в случае их отсутствия, чтобы избежать административной ответственности.

Должностная инструкция

1 июля текущего года вступило в силу положение, согласно которому стали обязательны для применения работодателями, если это предусмотрено ТК РФ, законами и иными нормативными правовыми актами (). До этого они за некоторым исключением носили лишь рекомендательный характер – обязательными они были, например, для педагогических работников (ст. 46 Федерального закона от 29 декабря 2012 г. № 273-ФЗ " ").

Положения должностной инструкции, разработанной в соответствии с требованиями профстандарта, также можно использовать при подборе персонала. Обязанность непосредственного руководителя и/или отдела кадров указывать соответствующие требования к кандидатам при составлении бланка заявки может быть также прописана в Положении о найме, ротации и увольнении персонала.

ПОЛЕЗНЫЕ СЕРВИСЫ

Таким образом, при составлении отказа работодателю останется лишь сослаться на конкретную должностную инструкцию и указать те требования этого документа, которым соискатель не соответствует.

Однако стоит иметь в виду, что такое требование, как отсутствие у кандидата вредных привычек, считается дискриминационным, поскольку оно не относится к деловым качествам работника. К такому выводу в мае это года Тверской районный суд г. Москвы. Следовательно, наличие данного требования в должностной инструкции и/или Положении о найме, ротации и увольнении персонала также может быть признано дискриминацией.

Положение об аттестации

Нужно ли работодателю проверять квалификацию уже работающих в организации сотрудников на соответствие профстандарту, если для данной категории специалистов он стал обязателен?

Кроме того, работодатель вправе провести аттестацию работников. Так, уточняет ведомство, при применении квалификационных справочников и профессиональных стандартов лица, не имеющие специальной подготовки или стажа работы, установленных в разделе "Требования к квалификации", но обладающие достаточным практическим опытом и выполняющие качественно и в полном объеме возложенные на них должностные обязанности, по рекомендации аттестационной комиссии назначаются на должности так же, как и лица, имеющие специальную подготовку и стаж работы.

Однако если работодатель считает, что работник не справляется со своими обязанностями, он может признать его по результатам аттестации не соответствующим занимаемой должности (). По общему правилу Положение об аттестации обязательным локальным нормативным актом не является, а значит, его отсутствие не повлечет за собой административную ответственность. Но если работодатель хочет проверить квалификацию своих работников и привести ее в последующем в соответствие определенным требованиям либо уволить не отвечающих этим требованиям сотрудников по , без такого Положения не обойтись. Исключения составляют только случаи, когда обязательная аттестация регламентирована законом или подзаконным нормативным правовым актом (например, Приказ Министерства образования и науки РФ от 7 апреля 2014 г. № 276 " ").

В Положении об аттестации могут быть перечислены все основания и условия, при которых сотрудника, не прошедшего аттестацию, "условно" допускают к работе – например, при последующем обучении за счет работодателя, повышении его квалификации и повторной переаттестации. Однако лучше избегать таких положений – оставьте только два основных вывода аттестационной комиссии: соответствует занимаемой должности и не соответствует занимаемой должности.

Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников

С 1 сентября 2015 года при сборе персональных данных операторы обязаны обеспечивать локализацию персональных данных россиян на серверах, расположенных на территории России (ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ " "; далее – закон о персональных данных). И работодатель, поскольку он является оператором, также обязан соблюдать указанное требование. Принимать новые локальные акты закон не требует, а вот коррективы в уже существующие следовало внести еще до сентября прошлого года.

Деятельность компании в части защиты персональных данных, как правило, регламентируют два документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников.

Собственно, локальным нормативным актом является только Положение, которое распространяется на сотрудников организации. Однако в поле зрения компании часто попадают и персональные данные, которые касаются третьих лиц (контрагентов, клиентов, родственников сотрудников и др.). Порядок работы с этими данными как раз и фиксируется в Политике. "Политику о порядке обработки персональных данных мы должны сделать публичной (). Проще всего разместить ее на своем сайте. Но есть организации, у которых нет сайта – в этом случае, как правило, рядом с тем местом, где посетителям оформляются пропуска, вешают кармашек, в который вкладывается Политика на бумажном носителе. Любой человек сможет ее вынуть и изучить", – уточнила 5 июля на конференции, организованной "АСЭРГРУПП", к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ Татьяна Коршунова . Соблюдение указанных требований может не только ГИТ, но и сотрудники Роскомнадзора.

И в Политике, и в Положении должно быть условие о том, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Кроме того, нужно указать место нахождения такой базы данных.

"Иногда спрашивают, нельзя ли совместить два эти документа в одном. Конечно, можно, но только локальные акты не предусмотрены для того, чтобы ими руководствовались третьи лица. Например, зачем знакомить с ним человека, который по доверенности получает товар? Это будет нелогично", – заключает Татьяна Коршунова.

Правила внутреннего трудового распорядка

В начале года Европейский суд по правам человека (ЕСПЧ) право работодателя контролировать переписку сотрудников в рабочее время . Суть спора состояла в том, что сотрудник, уволенный из компании за использование служебного аккаунта для личного общения, счел действия работодателя по чтению находящихся в мессенджере сообщений нарушением его права на тайну переписки. ЕСПЧ, однако, встал на сторону работодателя, отметив, что тот вправе знать, чем занимается его сотрудник в рабочее время, и контролировать деятельность работников по использованию Интернета только для осуществления профессиональной деятельности. Тем более, что использование корпоративного аккаунта в личных целях было прямо запрещено корпоративными правилами, и работник был предупрежден о возможных проверках.

Таким образом, Суд признал право работодателя проверять переписку сотрудников.

"Отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя. Что и подтвердил ЕСПЧ в указанном выше решении", – порталу ГАРАНТ.РУ эксперт центра правового содействия законотворчеству "Общественная Дума" Сергей Слесарев .

Аналогичные выводы есть и в решении российских судов (Апелляционное определение Верховного суда Республики Башкортостан от 1 декабря 2015 г. по делу № 33-17852/2015, ).

С тем, чтобы исключить уголовную ответственность за и обезопасить себя от претензий со стороны сотрудников, желательно включить условие о проверке корпоративной переписки в Правила внутреннего трудового распорядка или иной локальный акт.

МНЕНИЕ

Татьяна Коршунова, к.ю.н., доцент кафедры трудового права Национального исследовательского университета "Высшая школа экономики", ведущий научный сотрудник отдела законодательства о труде и социальном обеспечении Института законодательства и сравнительного правоведения при Правительстве РФ:

"В Правилах внутреннего трудового распорядка или в специальном документе о пользовании корпоративной почтой работодатель должен зафиксировать, что корпоративная почта может использоваться исключительно для деловой переписки. Использование корпоративного почтового ящика для личных целей не допускается. Также следует указать, что работодатель имеет право в любой момент проверить корпоративную почту сотрудника.

Когда работник заранее знакомиться с данным локальным актом и ставит свою подпись, он дает работодателю свое согласие на это. Если ему не хочется, чтобы кто-то проверял его корпоративную почту, значит он просто ищет другую работу".

Складывающаяся судебная практика подтверждает законность проверки работодателем не только корпоративной электронной почты сотрудников, но и их активности в социальных сетях. Частое посещение сайтов, не имеющих прямого отношения к выполняемой работе, может быть признано нарушением трудовой дисциплины и в разных случаях послужить основанием для сокращения должности работника на 0,5 ставки, объявления выговора и даже для увольнения (апелляционное определение Новгородского областного суда от 6 июня 2012 г. по делу № 2-1935/12-33-823, апелляционное определение Рязанского областного суда от 11 февраля 2015 г. № 33-335, апелляционное определение Омского областного суда от 12 февраля 2014 г. по делу № 33-649/2014).

Обязанность использовать корпоративный компьютер исключительно в рабочих целях, а также право работодателя проверять соблюдение сотрудниками этой обязанности, также стоит закрепить в Правилах внутреннего трудового распорядка.

***

Подводя итог, можно отметить, что сфера трудовых отношений чувствительна к изменениям даже в областях, далеких от трудового законодательства. Учитывать ли все нововведения в локальных нормативных актах, каждый работодатель решает самостоятельно. Однако своевременная корректировка основных документов компании способна обезопасить от претензий со стороны проверяющих органов и, как следствие, от административной ответственности.

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

  1. персональные данные, обрабатываемые в ИСПДн;
  2. объем обрабатываемых ПД;
  3. уровень защищенности;
  4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

  1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
  2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
  3. Образцы уведомления уполномоченного органа.
  4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
  5. Порядок отношений с распорядителем баз ПД.
  6. Порядок работы с запросами субъектов ПД.
  7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация


Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

Какие условия должны быть указаны в ЛНА?

1. Локальный нормативный акт должен быть утвержден генеральным директором, директором, советом директоров или другими уполномоченными лицами, определенными уставом компании.

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

  • общие принципы обработки данных,
  • порядок обработки данных на бумажных носителях,
  • порядок обработки данных в информационных системах,
  • порядок хранения персональных данных,
  • порядок передачи данных,
  • порядок обработки данных должностными лицами и проч.
4. В каждый ЛНА стоит включить раздел «Общие положения». В нем указать значение ЛНА, основные термины и понятия:
  • «персональные данные»,
  • «оператор»,
  • «обработка персональных данных»,
  • «трансграничная передача персональных данных» и проч.
Также можно указать права и обязанности сторон: работодателя как оператора и сотрудников — субъектов персональных данных. 5. Сотрудников компании под роспись нужно ознакомить со всеми внутренними актами компании, которые устанавливают порядок обработки персональных данных (ст. 86 ТК РФ).

Что написать в ЛНА

Цели обработки персональных данных и содержание

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

  • использование персональных данных в информационных системах, с которыми работает компания,
  • использование данных при составлении документов,
  • передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
  • сбор данных для принятия решения о приеме кандидата на работу и проч.
В ЛНА нужно указать всех субъектов обработки персональных данных (бывшие и настоящие сотрудники и их родственники, соискатели, клиенты, контрагенты и их представители и проч.), цели обработки персональных данных и их перечень.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ.

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

  • контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
  • информировать сотрудников о новых нормах, локальных актах о персональных данных;
  • принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.
Внешний доступ. Нужно прописать в ЛНА условия передачи персональных данных третьим лицам, в том числе за пределы РФ (трансграничная передача): это можно делать на основании договора, поручения на обработку данных и проч.

В ЛНА нужно указать:

  • наименование и местонахождение третьих лиц,
  • цели передачи данных и объемы,
  • перечень действий по обработке,
  • способы обработки,
  • требования к защите данных.

Хранение персональных данных

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

  • определение угроз безопасности,
  • обнаружение фактов несанкционированного доступа,
  • применение мер по обеспечению безопасной обработки данных,
  • защита технических средств, на которых хранятся данные,
  • установка антивирусов и проч.
«Одноразовая» обработка персональных данных

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

  • порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
  • данные, которые охрана запрашивает у гостей и вносит в журнал,
  • цели сбора и обработки данных гостей,
  • сроки обработки данных,
  • перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.
Наконец, компания должна обеспечить неограниченный доступ к документу, в котором определена политика работы с персональными данными (п. 2 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

Осуществляя деятельность, предприятию или ИП, выступающими работодателями, или работающими с контрагентами - физлицами, приходится иметь дело с их личными данными, которые в соответствии с законодательством подлежат защите. Вся работа с этими сведениями должна регламентироваться, для этого на предприятии создается положение о персональных данных работников.

Персональные данные - это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных .

Внимание! Законодательство устанавливает, что в состав Положения должно входить . Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Какие данные сотрудников являются персональными

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

  • Полные личные данные работника (Ф.И.О.).
  • Сведения о месте и дате появления его на свет.
  • Адрес фактический и по регистрации.
  • Социальное, семейное, имущественное положение.
  • Имеющиеся у работника образование, профессия.
  • Сведения о получаемых сотрудником доходах и т. д.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных. 4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями. 5. Должностные инструкции лиц, ответственных за защиту информации. 6. План мероприятий по защите информации. 7. Перечень защищаемых объектов информатизации. 8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа. 9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами. 10. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации. 11. Инструкция по защите речевой информации при проведении конфиденциальных совещаний. 12.

Какие локальные нормативные документы регулируют работу с персональными данными

  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.
  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст.

Какие локальные акты регламентируют работу с персональными данными?

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях. Следующий аргумент в пользу принятия рассматриваемого локального акта — его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда.


Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст.

Защита персональных данных работников: локальные нормативные акты

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.
Что такое персональные данные Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ. Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Защита персональных данных: разрабатываем локальные акты учреждения (зайцева г.)

Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением). Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
То есть круг сведений устанавливается в локальном нормативном акте организации — положении о персональных данных. Здесь важно разграничить персональные данные работника и обучающегося, а также документы, содержащие эту информацию.

Локальные нормативные акты работодателя - разберемся в нюансах

Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание — п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ). 3.



Похожие публикации: