Положение об использовании персональных данных | Положение о защите персональных данных

Главная — Бизнес-задачи — Защита персональных данных — Положение о персональных данных — Положение об использовании персональных данных

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

В рамках взаимоотношений между работодателем и сотрудником происходит передача информации, имеющей отношение к личности гражданина. Эти сведения используются работодателем в целях кадрового учета, изучения вопроса соответствия работника требованиям должностных инструкций, начисления зарплаты и уплаты НДФЛ. В соответствии с законодательством все способы использования данных должны быть регламентированы. В этих целях в организации принимается локальный нормативно-правовой акт – Положение о персональных данных работника.

Положение и его структура

Утвержденного на уровне нормативного акта Российской Федерации образца Положения о персональных данных работника не существует. Можно ориентироваться на предлагаемые крупными копаниями форматы документов, которые размещены на их сайтах. В структуре Положения должны выделяться следующие блоки:
нормативно-правовая база;

перечень информации, которая относится к персональным данным, так работодатель не вправе запрашивать сведения о политических, религиозных предпочтениях сотрудника, его частной жизни, иные данные, не имеющие отношения к выполнению трудовых обязанностей;
принципы защиты данных, основанные на комбинировании личной ответственности, технических и организационным мерах;
требования к обработке персональных данных;
хранение и передача сведений. Регламенты запроса согласования на передачу данных третьим лицам;
ответственность за нарушение норм Положения: дисциплинарная и, в предусмотренных законом случаях, материальная;
порядок его изменения и пересмотра.

Одной из значимых частей Положения о персональных данных должен стать раздел о правах работника в отношении предоставленной им информации и порядка ее обработки. Приложением к Положению должны стать формы согласия сотрудника на использование и обработку его персональных данных и согласие на предоставление дополнительной информации.

Положение о персональных данных работников

Положение утверждается приказом, подписанным директором организации, образец приказа часто выкладывается вместе с формой Положения. В приказе определяются:

срок, с которого документ начинает действовать;
лицо, ответственное за выполнение его требований;
сотрудник, отвечающий за выполнение приказа;
срок для ознакомления работников с Положением.

Хранится документ после ознакомления в делах компании и при необходимости размещается на сайте организации. Ознакомление производится путем изучения сотрудником текста и последующей росписи в журнале.

Подготовка Положения снимет множество вопросов в отношениях между компанией и работниками. Его наличие может проверяться в ходе аудиторских проверок. Если будет установлено нарушения требований Положения со стороны лица, допущенного к использованию персональных данных, факт его ознакомления с документом станет основанием для направления искового заявления в суд.

Нормативно-правовое регулирование

Трудовой кодекс РФ возлагает на компанию выполнение задач по сохранности тех персональных данных работника, которые она использует в своих целях. Их утечка недопустима, работодатель должен разработать и внедрить комплекс организационных и технических мер, которые обеспечат сохранность данных, недопустимость их разглашения и неправомерного использования. Законодательство о защите персональных данных определяет дополнительные требования к использованию данных о работнике, принципы, на которых должна основываться работа с ними.

Общие требования к обработке данных

Федеральный закон «О персональных данных» устанавливает те требования к их обработке и использованию, которые обязательно должны быть отражены в Положении. Среди этих принципов:

личная ответственность каждого лица, которому поручена работа с персональными данными, за их правомерное использование и сохранность. Никто из ответственных сотрудников не имеет права самостоятельно передавать персональные данные работников организации третьим лицам;
разграничение доступа к информации между разными сотрудниками и подразделениями компании. Никто не должен иметь доступ к персональным данным в совокупности и к полному комплексу информации;
установление системы и иерархии доступа, разграничение того, с какими данными имеет право работать сотрудник;
проведение регулярных проверок соблюдения требований законодательства, нормативных актов и Положения.

Это не единственные принципы использования персональных данных работника. Важной задачей Положения является информирование каждого лица, имеющего доступ к персональным данным, о требованиях закона и ответственности за их несоблюдение, например, при несанкционированной передаче данных третьим лицам. Эта задача решается отнесением персональных данных к коммерческой тайне и включение в трудовые договоры обязательств по ее неразглашению. Тогда, в случае утечки данных работника, виновный может быть уволен и к нему могут быть предъявлены требования о возмещении вреда.

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.