Как правильно оформить документы для защиты личных данных сотрудников

«Бухгалтерские вести» №11/2014 

Работодатель обязан закрепить свою политику в области обработки и защиты персональных данных работников.
 
Мария Яковенко
Мария Яковенко, специалист по кадровому администрированию Intercomp 
В соответствии с ч. 1 ст. 85 Гражданского кодекса РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. 

Положение о персональных данных 


Удобнее всего закрепить политику в области обработки и защиты персональных в одном локально-нормативном акте, который должен быть утвержден приказом генерального директора. У данного локально-нормативного акта нет установленного названия, чаще всего в качестве названия используется — «Положение о персональных данных». 

Необходимо помнить о том, что с данным положением и всеми изменениями к нему (если они вносились) нужно под роспись ознакомить всех работников. 

Ниже приведена та информация, которая должна содержаться в положении о защите персональных данных: 

  • перечень обрабатываемых персональных данных. То есть всех тех данных работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.; 
  • цели обработки персональных данных. Их можно взять из Трудового кодекса РФ; 
  • перечень действий с персональными данными: это сбор персональных данных, их накопление, уточнение, хранение, удаление и т. п. 
  • права и обязанности работников в сфере обработки персональных данных: работники имеют право получать доступ к своим персональным данным и информацию об их обработке; 
  • порядок обработки персональных данных, в том числе хранения, использования и передачи. Здесь нужно указать: 
  1. общие требования к обработке персональных данных. В частности, все персональные данные работника нужно получать у него самого, обрабатывать их можно лишь в соответствии с целями их сбора, нельзя сообщать их третьим лицам без согласия работника. Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки персональных данных и разрешать доступ к ним только уполномоченным работникам; 
  2. состав и перечень ваших мер по обеспечению защиты персональных данных. Например, перечислите, где хранятся персональные данные, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к персональным данным иным работникам, какие используются средства защиты информации в компьютерах и т. п.; 
  • ответственность работников за нарушение требований к обработке и защите персональных данных. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственность. 

Следует помнить, что за нарушение порядка обработки персональных данных предусмотрена административная ответственность. Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзора. Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушений. Если эти нарушения своевременно устранить, то опасаться штрафов не стоит. 

Если в организации уже существует положение, но отсутствует какая-либо информация, указанная ниже, необходимо дополнить положение и ознакомить сотрудников с внесенными изменениями. 

Работодатель (кроме индивидуального предпринимателя) должен издать приказ по предприятию о назначении ответственного за организацию обработки персональных данных. 

Пример 1

Общество с ограниченной ответственностью «Ромашка»

 

ПРИКАЗ №01-к

 

г. Санкт-Петербург 01.02.2014

Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.06 №152-ФЗ «О персональных данных»

 

ПРИКАЗЫВАЮ:

1. Назначить главного бухгалтера Иванову А.А. с 01.02.2014 ответственной за организацию обработки персональных данных.

2. Внести изменения в должностную инструкцию Ивановой А.А. в связи с новым назначением.

3. Установить Ивановой А.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.

 

Генеральный директор ООО «Ромашка»   

С.В. Семенов

 

С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.

"01" февраля 2014 г.

А.А. Иванова


Согласие работника на обработку персональных данных 


Для обработки персональных данных работников получать у них согласие не нужно, в случае: 
  • сбора персональных данных у соискателей, так как это делается в целях заключения трудового договора по их инициативе; 
  • сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с персональными данными в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанности. 

В остальных случаях обработки персональных данных работников, в том числе передачи данных третьим лицам, у работников придется получать согласие. К примеру, при передаче: 
  • копий дипломов работников лицензирующему органу для получения лицензии; 
  • персональных данных работников сторонней организации, оказывающей услуги по ведению бухучета и т. д. 
Следует помнить, что согласие на передачу персональных данных третьим лица необходимо оформлять каждый раз для каждой отдельной организации. Нельзя оформить согласие на передачу всем третьим лицам сразу.

Пример 2

Руководителю <Наименование компании>

                                                                                                       От_________________________________

(ФИО работника)                        

                  (год рождения)                          

                                      зарегистрирован по адресу:____________________

паспорт:­­­­­­­­­­­­­­_____________________________________

выдан:______________________________________

дата выдачи:_________________________________

Согласие работника на передачу

его персональных данных третьей стороне

 

Я, __________________________________________________, являясь работником компании

                                     (Ф.И.О. работника)

«___________________________________________________________________________________»

                                    (наименование компании – работодателя)

(далее - «Компания-работодатель») в должности___________________________________________

                                                                                                            (наименование должности)

настоящим своей волей и в своем интересе выражаю свое согласие на обработку оператором ООО «Ромашка» (190000, Российская Федерация, г. Санкт-Петербург, ул.Ленина, дом 1, ОГРН 111111111111, ИНН 333333333) - далее «Оператор» - моих персональных данных в целях осуществления кадрового делопроизводства и/или расчета моей заработной платы, её отражения в бухгалтерском учете, юридических консультаций, оформления разрешения на работу иностранному гражданину, приглашения иностранному гражданину для въезда в РФ, оформления визы, уведомления УФМС о месте временного пребывания иностранного гражданина в РФ и проведения проверки документов, содержащих мои персональные данные.

Настоящим также выражаю свое согласие:

1) На обработку следующих персональных данных:

1. Фамилия, имя, отчество.

2. Год, месяц, дата и место рождения.

3. Гражданство.

4. Место жительства/место регистрации.

5. Семейное положение.

6. Образование, квалификация, сведения об обучении.

7. Профессия, должность, отдел (департамент).

8. Место работы.

9. Размер заработной платы, дохода, иных выплат.

10. Номера банковских (лицевых) счетов.

11. Адрес постоянного места жительства в РФ и за рубежом.

12. Номера телефонов.

13. Паспортные данные.

14. При оказании юридических и миграционных услуг дополнительно члены семьи в части Ф.И.О.; адреса; даты рождения; должности/профессии, места работы, паспортных данных.

15. Сведения о детях.

16. ИНН физических лиц.

17. Номера страховых свидетельств государственного пенсионного страхования.

18. Сведения о состоянии на воинском учете (категория запаса, воинское звание, состав (профиль), полное кодовое обозначение ВУС, категория годности к военной службе, наименование военного комиссариата по месту жительства, на общем или специальном учета состоит, информация о снятии с воинского учета).

19. Информация обо всех предыдущих местах работы (для подсчета общего и страхового стажа).

20. Информация о наличии социальных льгот гарантированных государством (документы подтверждающие статусы: мать-одиночка, чернобылец, ветеран войны и т.д.).

21. Документы, обязательные при выполнении работ определенной квалификации (водительские права, в случае, если работнику предоставляется в личное пользование служебный автомобиль, медицинские справки, медицинские книжки и т.п.).

22. Сведения о прохождении аттестации.

23. Сведения о повышении квалификации и профессиональной переподготовке.

24. Сведения о поощрениях и наградах.

25. Сведения обо всех видах отпусков.

26. Сведения об увольнении (дата, причина, основание).

27. Сведения о нарушениях дисциплины, влекущих за собой наложение дисциплинарных взысканий.

28. Сведения о премиях и других материальных поощрениях.

29. Сведения об отработанном времени, о переработках, о причинах отсутствия на работе.

30. Сведения о командировках.

31. Сведения о временной нетрудоспособности.

32. Сведения о призыве на военную службу, на сборы и исполнении других государственных обязательств, влекущих за собой отсутствие на рабочем месте.

33. Биометрические персональные данные, в частности фотография субъекта персональных данных.

34. Сведения об удержаниях из заработной платы, в том числе сведения о размере алиментов и иных долговых обязательствах по исполнительным листам.

35. Информация о состоянии здоровья, наличии группы инвалидности, сведения о добровольном медицинском страховании.

2) На принятие Оператором решений, порождающих юридические последствия в отношении меня или иным образом затрагивающее мои права и законные интересы, в том числе на основании исключительно автоматизированной обработки персональных данных.

3) На совершение с моими персональными данными следующих действий (операций): сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу персональных данных уполномоченным лицам в соответствии с законодательством РФ), обезличивание, блокирование, уничтожение персональных данных Оператором и его сотрудниками.

4) На использование следующих способов обработки персональных данных:

— обработка в информационных системах персональных данных, включая обработку персональных данных с использованием средств автоматизации или без использования таких средств,

— ручная обработка путем использования материальных носителей.

Подтверждаю, что мне разъяснен порядок принятия решения на основании исключительно автоматизированной обработки моих персональных данных и возможные юридические последствия такого решения, а также порядок защиты мной прав и законных интересов.

Настоящее согласие действует до момента прекращения Договора возмездного оказания услуг заключенного между Компанией-работодателем и Оператором.

Настоящее согласие может быть отозвано мной в любое время на основании письменного запроса, направленного на имя Оператора в срок не позднее 7 (семи) рабочих дней до предположительной даты окончания обработки персональных данных.

«__» _____________ 20____ г.

______________________ ____________________________________________

              (подпись)                                  (расшифровка подписи от руки)