Положение о защите персональных данных работников

251

Вопрос

Можно получить образец положения о защите персональных данных работников?

Ответ

При разработке положения о защите персональных данных работников в качестве образца Вы можете использовать Положение о работе с персональными данными сотрудников, размещенное в Системе Юрист.

О том как организовать работу с персональными данными и конфиденциальной информацией читайте в Статьях и Рекомендациях:

Персональные данные в трудовых отношениях. Как организовать обработку и защиту информации

Защита персональных данных работника

Законодательство о персональных данных: трудности применения

Персональные данные в трудовых отношениях. Как организовать обработку и защиту информации

Защита персональных данных. Какие меры необходимо принять в любой компании

а также в рекомендациях ниже.

Обоснование данной позиции приведено ниже в материалах «Системы Юрист» и в материалах «Системы Кадры».

Рекомендация: Как организовать обработку персональных данных сотрудников

«Персональные данные сотрудников

Какие персональные данные сотрудника вправе получить организация

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Какие персональные данные считаются общедоступными

Общедоступная информация — это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах1, 2 статьи 7 Закона от 27 июля 2006 г. № 149-ФЗ.

Общедоступные персональные данные — данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Относится ли фотография к персональным данным

Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Фотография представляет собой визуализированный способ подачи информации, именно по ней можно идентифицировать человека. Таким образом, фотографию можно отнести к персональным данным сотрудникам, а следовательно, на нее будут распространяться все общие правила работы с таким видом данных, в том числе необходимость получения согласия сотрудника на передачу, размещение и обработку его фотографии.

Более того, запрет на обнародование и дальнейшее использование изображения гражданина без его согласия прямо установлен в статье 152.1 Гражданского кодекса Р. Ф. Исключение составляют случаи использования:

  • фотографий в государственных, общественных или иных публичных интересах;

  • оплаченных фотографий;

  • фотографий, которые сделаны в рамках публичных и массовых мероприятий.

Согласие сотрудника на обработку персональных данных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных осуществляется только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дается согласие;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;

  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;

  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;

  • подпись сотрудника.

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжитьобработку персональных данных без согласия сотрудника с учетом ограничений, указанных впунктах 2−11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Случаи обработки данных без согласия сотрудника

В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, — она может осуществляться без согласия сотрудника — субъекта персональных данных. Об этом сказано встатье 6 Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ, Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);

  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;

  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;

  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;

  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в пунктах 1−5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6−10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены впунктах 2−11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Обязан ли работодатель передавать оператору связи сведения о сотрудниках, которые имеют доступ к Интернету на рабочем месте

Да, обязан.

Все работодатели, включая индивидуальных предпринимателей, должны передавать оператору связи, который предоставляет им доступ к Интернету, список сотрудников, использующих ресурсы Интернета на рабочем месте. Такая обязанность установлена Правилами, утвержденными постановлением Правительства Р. Ф. от 10 сентября 2007 г. № 575.

Работодатель указывает в списке, представляемом оператору связи, следующие персональные данныесотрудников, которые используют Интернет на рабочем месте:

  • фамилию, имя, отчество;

  • местожительство;

  • реквизиты документа, удостоверяющего личность.

Данный список должен быть заверен руководителем организации, либо уполномоченным им лицом, или индивидуальным предпринимателем. При этом список нужно обновлять не реже одного раза в квартал.

Обязанность по представлению списка, а также конкретные сроки его представления должны быть зафиксированы в договоре, заключенном между работодателем и оператором связи.

13.03.2015

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>
Скоро в журнале «Юрист компании»
    Узнать больше


    Ваша персональная подборка

      Академия юриста компании

      Академия

      Смотрите полезные юридические видеолекции

      Смотреть

      Cтать постоян­ным читателем журнала!

      Cтать постоян­ным читателем журнала

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Юрист компании» –
      первый практический журнал для юриста

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Юрист компании».

      Зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Свидетельство о регистрации  ПИ № ФС77-62254 от 03.07.2015

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Простите, что прерываем ваше чтение

      Это профессиональный сайт для юристов-практиков. Чтобы обеспечить качество материалов и защитить авторские права редакции, мы вынуждены размещать лучшие статьи в закрытом доступе.

      Предлагаем вам зарегистрироваться и продолжить чтение. Это займет всего полторы минуты.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      Вы продолжите читать статью через 1 минуту
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль