Локальный акт проверки порядок обработки персональных данных. Локальные нормативные акты в свете последних изменений в законодательстве

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1.	Уведомление об обработке персональных данных. Основание: ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.	Изменения в уведомление об обработке персональных данных. Основание: Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
3.	Приказ Об организации обработки персональных данных.
4.	Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора. Основание: ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
5.	Согласие субъекта персональных данных на обработку его персональных данных. Основание: ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
6.	Согласие в письменной форме субъекта персональных данных на обработку его персональных данных. Основание: Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
7	Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных. Основание: Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных.
8.	Документы, определяющие политику оператора в отношении обработки персональных данных. Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
9.	Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных. Основание: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.	Документы по организации приема и обработке обращений и запросов субъектов персональных данных. Основание: Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации. Основание: п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
12.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации. Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
13.	Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Основание: 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
14.	Документы о классификации информационных систем. Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.
15.	Типовые формы документов. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.
16.	Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.
17.	Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
18.	Документы, по обеспечению безопасности персональных данных с использованием СКЗИ. Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
19.	Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20.	Документы, устанавливающие порядок обработки персональных данных работников. Основание: Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников.
21.	Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ. Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

№ п / п	Наименование документа	№ документа, дата
1.	.
2.	Акт определения уровня защищенности ИСПДн «________».
3.	Акт определения уровня защищенности ИСПДн «……».
4.	Акт о выделении к уничтожению документов, неподлежащих хранению.
5.	Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6.	Акты уничтожения персональных данных.
7.	Описание информационной системы персональных данных «Сотрудники».
8.	Описание информационной системы персональных данных «Клиенты».
9.	Описание информационной системы персональных данных «…..».
10.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».
11.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».
12.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».
13.	Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14.	Инструкция пользователя информационной системы персональных данных.
15.	Инструкция об организации антивирусной защиты.
16.	Инструкция администратора безопасности информационной системы персональных данных.
17.	Инструкция администратора информационной системы персональных данных.
18.	Инструкция пользователя при обработке персональных данных без средств автоматизации.
19.	Инструкция по эксплуатации машинных носителей информации.
20.	План внутренних проверок режима защиты персональных данных.
21.
22.	Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23.	Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….».
24.	Положение об обеспечении безопасности персональных данных.
25.	Положение об обработке персональных данных в ООО «….».
26.	Положение об ответственном за обработку персональных данных в ООО «….».
27.	Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
28.	Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.
29.	Приказ о начале обработке персональных данных.
30.	Приказ об ответственных и комиссии по информационной безопасности.
31.	Приказ о назначении сотрудников, имеющих доступ в персональным данным. — список сотрудников.
32.	Приказ утверждающий перечень мест хранения материальных носителей персональных данных. — перечень мест хранения ИСПДн.
33.	Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34.	Приказ о контролируемой зоне: — Схема границ. — Список лиц, имеющих право вскрывать помещение. — Список лиц, имеющих находиться в помещение.
35.	.
36.	Перечень информационных систем персональных данных.
37.	Согласие сотрудника на обработку его персональных данных.
38.	Согласие клиента на обработку его персональных данных.
39.	Согласие …. на обработку его персональных данных.
40.	Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41.	Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42.	Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43.	Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44.	Журнал учета и выдачи машинных носителей персональных данных.
45.	Журнал учета проверок, проводимых органами государственного контроля (надзора).
46.	Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47.	Журнал регистрации входящих конфиденциальных документов.
48.	Журнал регистрации исходящих конфиденциальных документов
49.	Журнал регистрации и выдачи печатей опечатывающих устройств.
50.	Журнал инвентарного учета документов ограниченного распространения.
51.	Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52.	Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53.	Журнал учета хранилищ (сейфов).
54.	Журнал учета ключевой информации.
55.	Журнал учета движения материальных носителей персональных данных.
56.	Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57.	Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Нашей организации пришло электронное письмо от Единого центра сертификации "XXX" о том, что мы не можем продолжать свою деятельность, так как необходимо с ИХ помощью разработать комплект документации по информационной безопасности и уведомить Роскомнадзор об обработке персональных данных, а также получить сертификат соответствия ГОСТ Р 52069.0-2013. В нашей организации хранятся только личные дела сотрудников, передача информации третьим лицам осуществляется только в целях осуществления образования сотрудников (в соответствии с ст. 86 п. 1 Трудового Кодекса) и для получения банковских карт. Является ли данное письмо правомерным и необходимо ли нам разрабатывать документацию, а также уведомлять Роскомнадзор? Если в соответствии с ФЗ-152 п.2 п.п.1, 8:2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством; 2) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В случае, если мы должны разрабатывать документацию по информационной безопасности, имеем ли мы право сами разработать ее без получения сертификата соответствия? Какой список обязательных документов по информационной безопасности?

Ответ

1. Да, организация обязана разрабатывать документацию по обработке персональных данных ( Закона № 152-ФЗ).

Организация также обязана направлять в Роскомнадзор уведомление об обработке персональных данных, за исключением случаев обработки персональных данных, указанных в Закона № 152-ФЗ ( Закона № 152-ФЗ).

Если отношения по обработке персональных данных выходят за рамки трудовых отношений (например, при передаче персональных данных работников сторонним организациям для ведения кадрового и бухгалтерского учета, для оформления и обслуживания зарплатных карт и т.п.) уведомлять Роскомнадзор необходимо.

2. Законодательством не установлен единый перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

Организация разрабатывает такой перечень самостоятельно в соответствии с требованиями и Закона № -ФЗ.

Единственным условием является, что они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом № -ФЗ.

Как правило, организации разрабатывают следующие документы по работе с персональными данными (ПД):

Положения (о защите, обработке, хранении и использовании ПД),

Инструкции (для ответственных за обработку данных, по учету лиц допущенных к ПД),

Приказы (назначение ответственных за обработку ПД, установление списка лиц имеющих доступ к ПД, о местах хранения ПД и т.п.),

Согласия (на обработку ПД, на получение ПД третьих лиц),

Журналы (учета обращений субъектов ПД, учета передачи ПД и т.п.) и другие.

Требование об обязательном получении сертификата соответствия ГОСТ Р 52069.0-2013 законодательство не содержит.

Оценка соответствия осуществляется в обязательном порядке в отношении средств защиты информации ( Закона № 152-ФЗ).

Обоснование данной позиции приведено ниже в материалах «Системы Юрист» .

1.Статья из журнала «Кадровое дело», №8, август 2015: Персональные данные: что проверит Роскомнадзор

«Основные документы, которые проверит Роскомнадзор

Приходя в организацию, Роскомнадзор обязательно проверит ( Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее - Административный регламент):

Документы, в которых содержатся или могут содержаться персональные данные;

Информационные системы персональных данных;

Деятельность по обработке данных.

В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными ( Административного регламента).*

Если проверка проводится по заявлению о нарушении законодательства или с целью контроля исполнения предписания, то специалист Роскомнадзора вправе запрашивать документы, которые необходимы для проверки сведений, изложенных в заявлении.

Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая организация должна уведомить об этом территориальный орган Роскомнадзора ( Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде3 ( Закона № 152-ФЗ). Однако существуют случаи, когда его можно не направлять. Например, если обработке подвергаются только фамилия, имя и отчество сотрудника либо когда это необходимо для оформления разового пропуска на территорию организации и др. ( Закона № 152-ФЗ).

Уведомление о прекращении обработки персональных данных. Если работодатель прекратил обрабатывать персональные данные, то в течение 10 рабочих дней он должен уведомить об этом орган Роскомнадзора ( Закона № 152-ФЗ). Уведомление можно составить в произвольной форме.

Положение о персональных данных работников. Этот локальный акт должен быть в каждой организации ( ТК РФ). В нем обязательно нужно указать перечень документов компании, которые содержат персональные данные, определить внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Проверьте, чтобы все сотрудники организации были ознакомлены с положением под роспись ( , ТК РФ).

Письменное согласие работника на обработку персональных данных. Такое согласие должен дать каждый работник, который ознакомлен с положением о персональных данных ( , Закона № 152-ФЗ). Если сотрудник отказывается дать согласие на обработку своих данных, организация имеет право продолжать обрабатывать их без его разрешения для исполнения возложенных на нее обязанностей (передачи сведений в ПФР, ФСС России др.). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия.

Обязательство о неразглашении персональных данных. От каждого сотрудника, который работает с персональными данными, нужно получить письменное обязательство об их неразглашении. Рекомендуем также указать в должностной инструкции, что работник имеет доступ к таким сведениям в связи с исполнением трудовых обязанностей. Дело в том, что увольнение сотрудника за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей и он давал обязательство не распространять такие сведения ( постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2)».

2. Статья из журнала «Справочник кадровика», №5, май 2015.: Работа с персональными данными. Готовимся к проверке

«Перечень мер по защите персональных данных работодатель определяет самостоятельно. Единственное требование: они должны быть необходимыми и достаточными для выполнения обязанностей, предусмотренных Законом о персональных данных.

Пожалуй, к числу обязательных можно отнести все те меры, которые перечислены в Закона о персональных данных. К ним относятся:

1. Назначение ответственного за организацию обработки персональных данных.

2. Разработка документа, определяющего политику организации в отношении обработки персональных данных, других локальных нормативных актов, предусматривающих в том числе меры по предотвращению и выявлению нарушений трудового законодательства в данной сфере и устранению последствий таких нарушений.

3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со Закона о персональных данных.

4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.

5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.

Документ, регламентирующий права и обязанности работников в области персональных данных ();

Локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (). *

Готовясь к проверке, необходимо не только проверить наличие указанных документов, но и проверить их содержание на предмет соответствия законодательству, а также ознакомить с ними всех работников, чьи права и обязанности они так или иначе затрагивают.

Что же касается работников, которые не имеют доступа к персональным данным других лиц для исполнения трудовой функции, закон требует регламентировать их права и обязанности по отношению к собственным персональным данным.

Чтобы выполнить это требование, достаточно будет отразить соответствующие права и обязанности в локальном нормативном акте об обработке персональных данных. Дополнительно их можно закрепить в правилах внутреннего трудового распорядка. За основу регламентации указанных прав и обязанностей следует взять ТК РФ, а также ст. - Закона о персональных данных.

Итак, Закон о персональных данных требует наличия:

1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;

2) локальных актов по вопросам обработки персональных данных;

3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений*.

СИТУАЦИЯ

Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?

Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору. Поэтому законодатель требует размещения такого документа на официальном сайте оператора.

Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.

Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки. Кроме того, в этом локальном акте можно указать права и обязанности работников в области персональных данных.

Что касается процедур, направленных на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений, то названные процедуры могут быть прописаны либо в отдельном положении, либо в общем локальном нормативном акте об обработке персональных данных.

В частности, недопустимо проводить обработку специальных или биометрических персональных данных без согласия их субъекта, если такая возможность не предусмотрена законом. Запрещено устанавливать дисциплинарные взыскания за нарушения в области персональных данных, не предусмотренные законодательством, и т. д.

Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в Закона о персональных данных.

В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства ( Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:

За непредоставление информации (ст. , КоАП РФ);

Нарушения в области персональных данных (ст. , КоАП РФ)».

"Учреждения образования: бухгалтерский учет и налогообложение", 2013, N 7

С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением. Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации?

Вопросы использования персональных данных регулируются гл. 14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона. Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов. Для этого он должен утвердить соответствующий локальный нормативный акт.

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.

Положение о персональных данных

Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет. Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении .

Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например , в Постановлении Правительства РФ от 21.03.2012 N 211 <1> в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных. Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять:

• содержание персональных данных для каждой цели их обработки;
• категории субъектов, личные данные которых обрабатываются;
• сроки обработки и хранения персональной информации;
• порядок уничтожения данных при достижении целей обработки или при наступлении иных законных оснований.

<1> "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях.

Следующий аргумент в пользу принятия рассматриваемого локального акта - его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда . Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст. 5.27 КоАП РФ: должностному лицу грозит штраф в размере от 1000 до 5000 руб., а юридическому лицу - штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.

Суды поддерживают позицию инспекций труда, подтверждая правомерность и обоснованность штрафных санкций за подобные нарушения. В частности, такие выводы содержатся в Постановлениях Московского городского суда от 29.08.2011 N N 4а-1742/11 и 4а-1743/11, ФАС МО от 01.11.2006, 08.11.2006 N КА-А40/10787-06.

В то же время важно, чтобы образовательное учреждение не только утвердило положение о персональных данных, но и под подпись ознакомило с ним своих работников (в силу п. 8 ст. 86 ТК РФ). Иначе нормы трудового законодательства будут нарушены, на что указано, например, в Постановлении Девятого арбитражного апелляционного суда от 17.08.2006, 24.08.2006 N 09АП-9595/06-АК.

Обратите внимание! Сотрудники должны письменно фиксировать факт ознакомления с положением о персональных данных. В противном случае (при отсутствии личной подписи) работодатель не сможет доказать, что работник действительно был ознакомлен с этим документом.

Для ознакомления можно создать отдельный журнал со списком сотрудников, где в соответствующей ячейке каждый поставит подпись и дату. Специалисты, принимаемые на работу после утверждения положения о персональных данных, также могут ставить свою подпись в журнале (либо для них факт ознакомления должен быть зафиксирован в тексте трудового договора).

Однако нужно избегать следующей ошибки: сначала включать в трудовой договор строку об ознакомлении с рассматриваемым локальным актом (и принимать по такому договору сотрудников на работу), а лишь потом утверждать положение о персональных данных. По этому поводу тоже сложилась судебная практика. В частности, Арбитражный суд г. Москвы Решением от 04.05.2006, 15.05.2006 по делу N А40-17389/06-146-165 признал правомерными действия государственной инспекции труда по привлечению организации к административной ответственности и подтвердил факт нарушения законодательства о труде и об охране труда. Из материалов дела следовало, что работник расписался в трудовом договоре об ознакомлении с положением о персональных данных, хотя само положение было принято в организации только полтора года спустя. Таким образом, была нарушена норма п. 8 ст. 86 ТК РФ, которая устанавливает обязанность работодателя знакомить персонал под подпись с документами, касающимися обработки личных данных работников, а также их прав и обязанностей в этой области.

Содержание положения о персональных данных

В положении о персональных данных должны быть раскрыты основные вопросы, связанные с получением, использованием и защитой личной информации. А поскольку образовательные учреждения обрабатывают личные данные не только своих сотрудников, но и обучающихся и их родителей, эту особенность также необходимо отразить в рассматриваемом локальном акте.

Положение о персональных данных, как правило, включает в себя следующие разделы:

1. Общие положения.
2. Основные понятия и состав персональных данных.
3. Обработка персональных данных.
4. Передача персональных данных.
5. Доступ к персональным данным.
6. Права и обязанности субъекта персональных данных.
7. Права и обязанности оператора персональных данных.
8. Защита персональных данных.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Рассмотрим содержание некоторых разделов более подробно.

Общие положения

Здесь следует указать цель создания документа (защита информации, относящейся к личности и личной жизни работников и обучающихся образовательного учреждения) и вопросы, которые он регулирует (порядок получения, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным). В этом разделе также должны быть даны ссылки на правовые акты, на основании которых разработано положение о персональных данных: Конституция РФ, ТК РФ, Федеральный закон N 152-ФЗ, Постановления Правительства РФ от 15.09.2008 N 687 <2>, от 01.11.2012 N 1119 <3> и др.

<2> "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
<3> "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Кроме того, нелишним будет указать, что положение о персональных данных и изменения к нему утверждаются приказом руководителя образовательного учреждения, а также что локальный акт является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

Основные понятия и состав персональных данных

Определения основных понятий в области персональных данных приведены в ст. 3 Федерального закона N 152-ФЗ. Прежде всего, в этом разделе целесообразно раскрыть содержание терминов "персональные данные" (в соответствии с п. 1 ст. 3 Федерального закона N 152-ФЗ) и "обработка персональных данных" (в соответствии с п. 3 ст. 3 Федерального закона N 152-ФЗ). Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением).

Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. То есть круг сведений устанавливается в локальном нормативном акте организации - положении о персональных данных.

Здесь важно разграничить персональные данные работника и обучающегося , а также документы, содержащие эту информацию. Некоторые из сведений приведены в таблице.

Субъект персональных данных	Состав персональных данных	Документы, содержащие персональные данные
Работник	- паспортные данные; - ИНН, номер страхового свидетельства государственного пенсионного страхования; - сведения об образовании, специальности; - сведения о трудовом и общем стаже, предыдущем месте работы; - сведения о заработной плате сотрудника, социальных льготах, наличии судимостей, результатах медицинского обследования на предмет осуществления трудовых функций; - сведения о семейном положении и составе семьи; - адрес места жительства; - номер домашнего, сотового телефона и др.	- копия паспорта; - копии ИНН, страхового свидетельства государственного пенсионного страхования; - копия документов об образовании, квалификации или наличии специальных знаний; - анкета, заполненная при поступлении на работу; - медицинские справки о состоянии здоровья на предмет годности к осуществлению трудовых обязанностей; - трудовой договор; - трудовая книжка; - личное дело и др.
Обучающийся	- сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; - информация, содержащаяся в личном деле обучающегося; - информация об успеваемости; - информация о состоянии здоровья; - адрес места проживания и др.	- копия паспорта или иного документа, удостоверяющего личность; - личное дело; - документы о состоянии семьи; - документы о состоянии здоровья и др.

Обработка персональных данных

Требования, которые должны соблюдаться при обработке личных данных, приведены в ст. 86 ТК РФ и ст. ст. 6, 9 Федерального закона N 152-ФЗ. Например , в этом разделе можно прописать, что все персональные данные следует получать у самого работника или обучающегося (его родителей), а также что использование данных возможно только в соответствии с целями, определившими их получение. Целесообразно обозначить и сроки хранения документов.

Здесь же можно указать, что организация вправе обрабатывать персональную информацию только с согласия граждан, которым такие сведения принадлежат (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Однако при этом нужно учитывать следующие особенности.

1. Как сказано в Разъяснениях Роскомнадзора <4>, письменное согласие работника может быть оформлено в виде отдельного документа или закреплено в тексте трудового договора. В обоих случаях согласие должно отвечать требованиям, предъявляемым ч. 4 ст. 9 Федерального закона N 152-ФЗ.

<4> Разъяснения Роскомнадзора от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве".

1. Если обработка персональных данных осуществляется в рамках трудового законодательства, получать согласие работника не требуется . Однако, как отмечает Роскомнадзор, такое возможно при соблюдении двух условий: объем обрабатываемых работодателем персональных данных не превышает установленного перечня и соответствует целям обработки, предусмотренным трудовым законодательством.

Кроме того, получение организацией согласия сотрудника не требуется, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора). Например , в отношении образовательных учреждений такая обязанность определена Постановлением Правительства РФ от 18.04.2012 N 343 <5>. Согласно этому документу учреждение должно размещать на своем официальном сайте в том числе информацию, содержащую персональные данные: фамилии, имена, отчества руководителя учреждения и руководителей структурных подразделений, графики их работы, адреса электронной почты, а также фамилии, имена, отчества педагогических работников, их должности, уровень образования, квалификация и др.

<5> "Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении".

1. Для обработки личных данных обучающихся можно также не оформлять их согласия. Пункт 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ устанавливает, что такое допустимо в случаях, когда обработка персональных данных необходима для исполнения договора , стороной которого является субъект персональных данных. В свою очередь, в ст. 54 Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" <6> говорится о заключении договора об образовании между организацией, осуществляющей образовательную деятельность, и лицом, зачисляемым на обучение (родителями несовершеннолетнего лица).

<6> Вступает в силу 1 сентября 2013 г.

1. В отношении специальных категорий персональных данных (в силу ч. 1 ст. 10 Федерального закона N 152-ФЗ к ним относится, например, информация о состоянии здоровья) письменное согласие обучающегося (его родителей) на обработку получить придется . Об этом сказано в п. 1 ч. 2 ст. 10 Федерального закона N 152-ФЗ.

Доступ к персональным данным

Поскольку доступ к личным данным разрешен только специально уполномоченным лицам (абз. 6 ст. 88 ТК РФ), в этом разделе указывается круг таких лиц. В частности, внутренний доступ могут иметь следующие сотрудники: руководитель учреждения, его заместители, главный бухгалтер, бухгалтер, делопроизводитель, сам субъект персональных данных (работник или обучающийся (его родитель)). Здесь достаточно назвать должности уполномоченных сотрудников и перечень сведений, к которым имеет доступ каждый из них. К примеру, можно указать, что делопроизводитель имеет право доступа ко всем персональным данным; главный бухгалтер, бухгалтер - к сведениям о служебном положении, составе семьи, а также к сведениям, имеющим отношение к начислению заработной платы, налогов и иных обязательных платежей. А вот поименный список конкретных лиц следует утвердить отдельным приказом.

Внешний доступ к персональным данным могут иметь государственные органы (учредитель, налоговая инспекция, правоохранительные органы, органы статистики, органы социального страхования, подразделения ПФР и др.). В числе других пользователей - иные организации (сведения о работающем или уволенном сотруднике могут быть предоставлены только на основании их письменного запроса), а также родственники и члены семей (передача сведений возможна при письменном разрешении самого субъекта персональных данных).

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональной информации от неправомерного использования или утраты должна обеспечивать сама организация за счет своих средств. Поэтому в данном разделе следует определить формы хранения документов, содержащих персональные сведения . Такой формой, например, может быть хранение соответствующих документов в запирающихся шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа, или защита персональных компьютеров паролями доступа (при хранении сведений в электронном виде).

Кроме того, здесь может быть установлен круг лиц, которые вправе отвечать на письменные запросы о предоставлении информации (например, сведения могут предоставлять только уполномоченные лица), форма ответов на письменные запросы других организаций (на бланке учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках). Целесообразно определить и возможность передачи информации, содержащей персональные данные, по телефону, факсу, электронной почте (например, это запрещается либо для этого необходимо письменное согласие субъекта персональных данных).

Иные локальные акты учреждения

Помимо положения о персональных данных и документа, в котором фиксируется факт ознакомления сотрудников с указанным положением, образовательному учреждению необходимо разработать другие локальные акты в области защиты персональных данных. Жестких требований об их количестве законодатель не устанавливает. В ч. 1 ст. 18.1 Федерального закона N 152-ФЗ лишь говорится о том, что организация должна самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных. Это меры организационного, правового и технического характера.

Пакет локальных актов может быть дополнен следующими документами, с которыми соответствующие работники тоже должны ознакомиться под подпись.

1. Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание - п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ).
3. Обязательство о неразглашении персональных данных, позволяющее ввести личную ответственность уполномоченных работников за сохранность и конфиденциальность персональных данных. Основанием здесь является п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ (предписывает издать в организации локальные акты, устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений). Другим способом обеспечить неразглашение сведений может стать включение этого условия в трудовые договоры с уполномоченными сотрудниками.
4. Письменное согласие на обработку персональных данных (в случаях, когда необходимо его получение).

Образовательное учреждение может разработать и другие внутренние документы, например о мерах, принимаемых для обеспечения безопасности персональных данных.

Г.Зайцева

Эксперт журнала

"Учреждения образования:

бухгалтерский учет и налогообложение"

Определяет как любую информацию, прямо или косвенно относящуюся к субъекту или позволяющую его идентифицировать (п.1 ст. 3). При этом законодательный акт не содержит разъяснения, какие именно сведения о физическом лице включает в себя данное понятие. В контексте трудовых отношений к ним, как правило, относятся:

• дата рождения;
• паспортные данные;
• адрес регистрации и проживания;
• номер СНИЛС;
• информация об образовании и трудовом стаже.

Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника.

Для чего нужно положение о работе с персональными данными

Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.

Структура положения о персональных данных

Составляя положение о защите персональных данных 2019, рекомендуется придерживаться следующей структуры:

№	Раздел	Содержание
1	Основные положения	Цели документа, законы, порядок утверждения
2	Основные понятия	Определения понятий, упортребляемых в документе
3	Состав персональных данных работников	Перечень личных сведений
4	Обработка данных	Условия обработки информации
5	Комплекс документов	Перечень документов, содержащих личные сведения
6	Доступ к персональным данным	Порядок внешнего и внутреннего доступа к информации
7	Защита персональных данных	Комплекс мер для обеспечения безопасности конфиденциальных сведений
8	Права и обязанности работника	Права работника в отношении обработки данных, обязанность по своевременному уведомлению об их изменении
9	Ответственность за разглашение информации	Разъяснение ответственности за нарушение сохранности информации в соответствии с законодательством

Как ввести в действие положение об обработке и защите персональных данных 2019

На этапе разработки документа его содержание следует согласовать с руководителями отделов, задействованных в обработке данных, и юридической службой. Готовый локальный нормативный акт утверждается . Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора. Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ - ведение журнала ознакомления с локальными нормативными актами. При необходимости работник может сколько угодно раз обращаться за текстом документа. Чтобы упростить данную процедуру, рекомендуется выложить образец положения об обработке персональных данных работника в ресурсы корпоративного электронного доступа.

В соответствии с ч. 1 ст. 5 ТК РФ локальные нормативные акты, содержащие нормы трудового права, регулируют трудовые и иные непосредственно связанные с ними отношения. Как правило, локальные нормы устанавливаются как результат соглашения участников социально-трудовых отношений. Именно в этом и состоит специфика правового регулирования отношений наемного труда на уровне организации Лебедев В.М. Лекции по трудовому праву России. - Томск, 2001..

В любой организации существует определенная совокупность процедур и правил использования информации. Она отражает отдельные этапы получения, хранения, комбинирования, передачи и иного использования информации. Соблюдение указанного алгоритма обработки информации гарантирует информационное обеспечение достижения поставленных работодателем целей. Часть этого технологического процесса составляет обработка конфиденциальной информации, в состав которой входят персональные данные работника. Отношения по соблюдению порядка информационного оборота регламентируются в нормативных документах - локальных актах организации. Эти акты отражают особенности организации, связанные с использованием информации. В настоящее время производственное и технологическое развитие организации во многом зависит от уровня организованности локальной нормоустановительной деятельности Веселова Е.Р. Локальное нормотворчество в организации // Трудовое право. 2004. № 9.. «В дальнейшем, с развитием производственных отношений, усложнением технологических процессов, становлением гражданского общества в России роль локальных (местных) нормативно-правовых актов в сфере регулирования трудовых и тесно примыкающих к ним отношений, входящих в предмет трудового права, будет возрастать. Это объективный процесс, который вызван реальными потребностями жизнедеятельности каждой организации» Ведяшкин С.В. Локальные нормативные правовые акты и их роль в установлении внутреннего трудового распорядка организации. - - Томск, 2001..

Делопроизводство документов конфиденциального характера, в том числе и содержащих персональные данные работника, регламентируется не только текстовыми документами, но и схематическими, графическими актами. В качестве примеров можно назвать движение документации по личному составу в организации, схемы передачи кадровой документации в иные подразделения, структуры делопроизводственных подразделений организации.

Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.

Все внутренние (локальные) нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.

Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области. Однако на практике такие примеры встречаются редко. В положения об отделениях и службах организации нормы о защите персональных данных работников обычно включаются разделы о целях и задачах деятельности функционального органа организации.

Существенное количество норм о защите персональных данных работника закреплено в локальных правовых актах организации, регламентирующих информационный оборот, В положениях, инструкциях о делопроизводстве, о порядке заключения договоров, о защите информации, о режиме конфиденциальности и др. регламентируются стадии получения (создания), передачи, хранения и уничтожения сведений. Эти акты регулируют отношения о передаче документированной информации внутри организации и за ее пределами.

Пункт 6 ст. 86 ТК РФ запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Указанное ограничение касается создания персональных данных в электронном виде. Это требование связано с тем, что новые методы обработки информации, повышая уровень информированности общества и коэффициент полезности использования его информационных ресурсов, одновременно увеличивают степень уязвимости информации.

Ряд документов организации регулирует отношения исключительно в сфере использования информационных технологий. Как правило, в каждой организации утверждается самостоятельная, учитывающая ее специфику, делопроизводственная инструкция о работе с документами, содержащими сведения конфиденциального характера. На уровне организации принимаются документы о порядке доступа к локальной информационной сети, о защите критически важной информации, об использовании электронной почты, о правилах доступа к ресурсам Интернета и др.

Пункт 8 ст. 86 ТК РФ обязывает работодателя и его представителей при обработке персональных данных знакомить под расписку работников и их представителей с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях. Пункт 10 ст. 86 ТК РФ обязывает работодателей, работников и их представителей к совместной разработке мер защиты персональных данных. Часть 5 ст. 88 ТК РФ требует осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку. Эти законодательные положения в литературе трактуются по-разному.

Регламентация порядка передачи персональных данных должна быть закреплена в правилах внутреннего трудового распорядка, в положении о персонале, и работодатель должен нести соответствующую обязанность. Что касается разработки специализированного локального акта, то Л.В. Тихомирова считает, что ТК РФ закрепил возможность, а не обязанность работодателя по принятию соответствующего отдельного нормативного акта Тихомирова Л.В. Ibid..

Охрана персональных данных работника осуществляется не только в локальных нормативных актах. Значительная часть отношений по защите персональных данных регулируется в договорном порядке. Организации заключают договоры и соглашения о передаче персональных данных на законных основаниях третьим лицам (в отделения Пенсионного фонда РФ, военные комиссариаты, налоговые инспекции и др.), о защите передаваемой информации средствами криптографии и шифрования и др. Отдельные условия о защите конфиденциальной информации находят отражение в трудовых договорах.