Предприятиям, индивидуальным предпринимателям, которые являются работодателями и работают с контрагентами физлицами, приходится в обязательном порядке использовать персональные данные (ПДн). Эта информация подлежит защите в соответствии с требованиями законодательства. Все действия с персональной информацией должны быть регламентированы. С этой целью на каждом предприятии нужно создать Положение, в котором описываются все действия с персональной информацией.
Персональные данные включают в себя личные сведения о работнике, собранные на протяжении всего периода сотрудничества с ним – от приема на работу с заключением трудового договора до момента его увольнения.
Лица, которые на предприятии должны собирать, хранить, обрабатывать и разглашать персональные сведения третьим лицам, обязаны выполнять эти действия, руководствуясь требованиями актуального законодательства. При этом нельзя допускать несанкционированного разглашения такой информации.
Чтобы закон соблюдался и у предприятия была возможность в дальнейшем обрабатывать ПДн, необходимо разработать Положение, в котором будут отражены все необходимые требования и нормы законодательства в сфере защиты персональных данных с учетом профиля деятельности организации.
Закон требует разрабатывать Положение о защите персональных данных каждому субъекту, осуществляющему хоздеятельность, нанимающему работников, что приводит к необходимости выполнять определенные действия с их ПДн.
Данный акт носит локальный характер, его разработка и утверждение осуществляются в соответствии с установленной процедурой на предприятии по разработке любых внутренних нормативных документов. Отвечать за разработку может руководитель отдела работы с кадрами, другой сотрудник, на которого работодатель возложит такую обязанность. Проект документа необходимо согласовать с другими специалистами компании, профсоюзной организацией. Далее документ вводится в действие путем издания распоряжения за подписью директора.
После введения Положения о ПДн в действие с ним нужно под роспись ознакомить всех сотрудников компании. Подписи можно собирать в специальном журнале или в опросных листах.
Законодательство предусматривает требование о получении согласия работников на обработку их персональной информации, которое должно входить в состав этого Положения. Работодатель обязан запрашивать разрешение у сотрудника каждый раз, когда нужно предоставить его ПДн третьим лицам (банковские операции, составление доверенностей и др.). Свое согласие работник имеет право отозвать, когда ему будет угодно. Для этого нужно написать на имя работодателя заявление о таком решении.
Законодательство не устанавливает вид и объем сведений, названия разделов и их содержание для внесения в Положение о защите персональных данных. Не установлены также и критерии для оформления этого документа. В связи с этим при создании данного документа в компании требуется учесть все требования законодательства о ПДн, а также принципы, применяемые при оформлении документов внутреннего характера.
Данный раздел предназначен для обозначения целей, для выполнения которых он составляется. В нем необходимо указать ссылки на нормативные акты, описывающие работу с ПДн. Также в этой части расписывается процедура, по которой это Положение вводится в действие, а также процесс внесения изменений.
В этом разделе содержится наиболее важная информация, так как именно здесь определяются сведения, подпадающие под понятие персональных. Вносить информацию в этот раздел желательно только после получения от всех работников требуемых документов, анализа их состава, внесенной в них информации. В этой части Положения рекомендуется описать разработанную внутреннюю документацию, в которой предусматривается наличие ПДн, подлежащих защите.
Этот раздел должен содержать описание подразделений или определенных сотрудников, которые будут иметь право на обработку персональных данных. Также важно указать носители, используемые для хранения ПДн (бумажный вариант, электронная база данных и пр.).
Здесь описываются все возможные варианты использования другими работниками персональных данных, в полномочия которых не входит их обработка. Также оговаривается порядок предоставления ПДн другим организациям, органам государственного значения, третьим лицам.
Предназначение этого раздела – описание конкретных действий сотрудников компании, допущенных к личной информации персонала. Важно разграничить полномочия, определить перечень ПДн, доступных для обработки определенными штатными работниками.
Это раздел, в котором должны быть четко прописаны права работников, передавших свою персональную информацию предприятию. Отдельно перечисляются права тех, кто имеет доступ к сведениям такого рода и использует их во время выполнения своих должностных обязанностей.
В этой части Положения описываются места и способы хранения в компании полученной персональной информации, указываются меры защиты ПДн, хранящихся на бумажных носителях. Для этих целей обычно используются:
ПДн на предприятиях хранятся также на электронных носителях. В этом разделе нужно прописать, где осуществляется хранение такой информации в электронном виде, и каким способом она защищается.
Порядок разработки Положения о защите ПДн составляется так же, как и остальные документы, разрабатываемые на предприятии. Если на предприятии есть профсоюз, Положение до его вступления в силу нужно согласовать с этим органом.
Проект данного документа передается в профсоюз на рассмотрение. На протяжении пяти рабочих дней он должен быть изучен его членами. По окончании этого срока профсоюз должен письменно изложить свою резолюцию. Данный орган может быть не согласен с некоторыми пунктами документа. В таком случае его представители должны предоставить свои предложения и замечания. Работодатель должен принять предложенные изменения или на протяжении трех дней обсудить и согласовать с профсоюзом приемлемый для сторон вариант.
Если согласие не достигнуто, сторонами подписывается протокол разногласий. Далее работодатель может принять Положение в предложенном виде. Но нужно помнить, что в спорной ситуации профсоюз может обжаловать принятие этого документа через суд или инспекцию по труду.
При отсутствии на предприятии профсоюза нужно согласовать Положение с иным органом, сформированным в трудовом коллективе и представляющим интересы сотрудников.
Если и такой орган не сформирован, работодатель вводит в действие Положение о ПДн без согласования. В любом случае издается приказ или распоряжение о введении в действие этого документа. В нем указываются дата вступления в действие этого нормативного акта, лица, ответственные за соблюдение его норм. Если дата не указана, Положение начинает действовать с даты, которой подписано данное распоряжение.
С 01.07.17 г. вступили в силу поправки к некоторым законодательным актам и КоАП в части ответственности за несоблюдение требований законов по защите персональных данных. В связи с этим увеличились штрафы за такие нарушения. Поэтому выполнять прописанные в Положении о защите ПДн нормы работодатель обязан, иначе ему придется платить штрафы в случае нарушений в сфере обработки и хранения личной информации работников.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
