Przykładowe regulacje dotyczące danych osobowych pracowników. Jak sporządzić rozporządzenie o ochronie danych osobowych Regulamin ochrony danych osobowych pracowników

Rozporządzenie dotyczące danych osobowych pracowników jest wewnętrznym lokalnym aktem organizacji, którego obecność jest przedmiotem kontroli przeprowadzanych przez Roskomnadzor. Dlatego wiele firm zastanawia się nad tym, jak opracować rozporządzenie o ochronie danych osobowych (2020), jeśli wcześniej takiego dokumentu nie posiadały. W tym artykule podpowiemy, na co należy zwrócić szczególną uwagę przy jego opracowywaniu, aby zapobiec naruszeniom prawa.

Jeśli złamię prawo

Pracodawcy zaczęli masowo otrzymywać pisma od Roskomnadzor ostrzegające, że podczas kontroli firmy mogą otrzymać poważne kary za naruszenie przepisów ustawy nr 152-FZ z dnia 27 lipca 2006 r. (zwanej dalej ustawą). Zgodnie z nią pracodawca ma obowiązek zapewnić ochronę tych informacji przed bezprawnym dostępem i wykorzystaniem przez osoby trzecie. Rozwiązaniem tych problemów jest rozporządzenie o przetwarzaniu danych osobowych pracowników.

W dniu 23 lutego 2020 r. weszło w życie Rozporządzenie Rządu nr 146 z dnia 13 lutego 2019 r., które zatwierdziło Regulamin organizacji i realizacji kontroli państwowej i nadzoru nad przetwarzaniem danych osobowych. Zgodnie z dokumentem planowe kontrole będą przeprowadzane co 2-3 lata, a listę spółek podlegających kontroli można wcześniej zobaczyć na stronie internetowej Roskomnadzoru. Podobnie jak w przypadku innych rodzajów kontroli, inspektorzy będą musieli uprzedzić o planowanej wizycie. Jeżeli kontrola jest planowana, należy o niej powiadomić z 3-dniowym wyprzedzeniem, a w przypadku niezaplanowanej - z 24-godzinnym wyprzedzeniem.

Za naruszenie Prawa przewidziana jest odpowiedzialność dyscyplinarna, materialna, administracyjna i karna. Organy nadzorcze mogą pociągnąć odpowiedzialność administracyjną na podstawie art. 13.11 i 13.14 Kodeksu wykroczeń administracyjnych, kary wynoszą:

• dla urzędników: od 500 do 1000 rubli;
• dla organizacji: od 5000 do 10 000 rubli;
• dla urzędników w związku z wykonywaniem obowiązków służbowych lub zawodowych: od 4000 do 5000 rubli.

Do najczęstszych naruszeń, zdaniem inspektorów, zalicza się przetwarzanie danych osobowych bez zgody ich właściciela lub z naruszeniami, niedopełnienie obowiązku zniszczenia danych osobowych oraz naruszenie warunków przechowywania takich informacji.

Co to są dane osobowe

Są to wszelkie informacje niezbędne pracodawcy przy nawiązywaniu stosunku pracy, które dotyczą pracownika. Na przykład nazwisko, imię, patronimika, data i miejsce urodzenia, miejsce zamieszkania itp.

Przykładowe dokumenty zawierające dane osobowe to:

• karta pracownika zawierająca imię i nazwisko osoby, informacje o składzie rodziny, wykształceniu;
• karta pracy zawierająca doświadczenie zawodowe z poprzednich miejsc pracy;
• dyplomy, świadectwa wykształcenia;
• umowa o pracę.

Zabrania się otrzymywania i przetwarzania danych niezwiązanych bezpośrednio z czynnościami służbowymi. Na przykład informacje o religii, narodowości i przynależności politycznej. Informacje te pozyskiwane są wyłącznie od samych pracowników. Warunki te muszą zostać ujęte w przepisach dotyczących przetwarzania i ochrony danych osobowych. Pracodawcy mają obowiązek powiadomić pracownika i uzyskać jego pisemną zgodę na przetwarzanie, przechowywanie, wykorzystywanie i rozpowszechnianie jego danych.

Przechowuj dane prawidłowo

Dane osobowe pracowników zawarte są w ich kartach osobowych i aktach osobowych. Prawo nakłada na każde przedsiębiorstwo obowiązek opracowania zasad wykorzystania i przechowywania danych o jego pracownikach.

Przepis dotyczący ochrony danych osobowych może stanowić odrębny dokument lub rozdział zawarty w obowiązującym Wewnętrznym Regulaminie Pracy.

Aby zachować poufność informacji o osobach pracujących w organizacji, tworzona jest lista urzędników, którzy mają do nich dostęp. W zarządzeniu wyznaczana jest osoba odpowiedzialna za gromadzenie, przechowywanie i przetwarzanie danych poufnych. Pracownicy, menedżerowie i dyrektor generalny przedsiębiorstwa podpisują Umowę o zachowaniu poufności.

Informacje o danych osobowych pracowników przedsiębiorstwa mogą być przechowywane zarówno w formie papierowej, jak i elektronicznej. Obecnie takie informacje są najczęściej przechowywane w sposób mieszany.

Przykładowe regulacje dotyczące danych osobowych pracowników (2020) i ich rozwoju

Na pierwszym etapie rozwoju konieczne jest określenie, jakie dane są wykorzystywane w firmie, w jaki sposób są odbierane, przechowywane i przetwarzane.

Do sporządzania dokumentów organizacyjnych stosuje się ogólne zasady: w tytule podaje się nazwę organizacji, datę i numer dokumentu, a pieczęć zatwierdzającą umieszcza się w prawym górnym rogu.

Przepis zawiera następujące informacje:

• cele i zadania przedsiębiorstwa podczas pracy z poufnymi danymi;
• wykazy takich danych;
• opis operacji na danych, które są często wykorzystywane w przedsiębiorstwie;
• sposoby dostępu do danych;
• listy i obowiązki personelu firmy podczas korzystania z informacji;
• prawa pracowników firmy do dostępu do informacji;
• odpowiedzialność pracowników przedsiębiorstwa za ujawnienie informacji.

Regulamin zatwierdzany jest zarządzeniem kierownika spółki. Wzór rozporządzenia w sprawie przetwarzania danych osobowych pracowników powinien być dostępny do wglądu dla wszystkich pracowników. Powinni złożyć swój podpis na arkuszu lub dzienniku pokładowym, który z reguły prowadzi dział personalny pracodawcy. Magazyn jest listą pracowników firmy, na której każdy się podpisuje po zapoznaniu się z lokalną ustawą.

Dane osobowe to różnego rodzaju informacje dotyczące konkretnej osoby (klauzula 1, art. 3 ustawy federalnej z dnia 27 lipca 2006 r. nr 152-FZ). Jak każda inna informacja, dane osobowe podlegają przetwarzaniu, tj. są gromadzone, usystematyzowane, gromadzone, przechowywane, przekazywane, niszczone itp. Dbanie o to, aby przetwarzanie danych osobowych nie naruszało praw i wolności obywateli, w tym m.in. prawa do prywatności, tajemnicy osobistej i rodzinnej wymagana jest właściwa ochrona danych osobowych. Temat ten jest istotny dla wszystkich pracodawców, ponieważ tak naprawdę to oni stale przetwarzają niektóre dane osobowe swoich pracowników. Dotyczy to na przykład danych paszportowych pracownika lub jego adresu zamieszkania, informacji o wykształceniu lub stażu pracy pracownika, informacji o jego wynagrodzeniu czy stanie cywilnym itp. Znaczenie tego obszaru potwierdza fakt, że w Kodeksie pracy Federacji Rosyjskiej o ochronie danych osobowych pracowników poświęcony jest odrębny rozdział – rozdz. 14 „Ochrona danych osobowych pracowników”. O ochronie danych osobowych w organizacjach opowiemy Państwu podczas naszych konsultacji oraz udostępnimy wzór Regulaminu ochrony danych osobowych pracowników 2017.

Polityka przetwarzania i ochrony danych osobowych pracowników

Ogólne wymagania dotyczące przetwarzania danych osobowych pracowników, a także kwestie ochrony danych osobowych w przedsiębiorstwie zawarte są w art. 86 Kodeks pracy Federacji Rosyjskiej.

Tym samym Kodeks pracy Federacji Rosyjskiej ustanawia w szczególności następujące aspekty przetwarzania i ochrony danych osobowych:

• przetwarzanie danych osobowych pracowników odbywa się wyłącznie w celu przestrzegania ustawodawstwa Federacji Rosyjskiej, pomocy pracownikom w znalezieniu zatrudnienia, zdobyciu wykształcenia i awansu zawodowego, zapewnieniu bezpieczeństwa osobistego pracowników, monitorowaniu ilości i jakości wykonywanej pracy i zapewnienie bezpieczeństwa mienia;
• Wszystkie dane osobowe pracownika muszą zostać pozyskane od niego. Jeżeli pozyskanie danych osobowych pracownika możliwe jest wyłącznie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę;
• pracodawca jest obowiązany na własny koszt zapewnić ochronę danych osobowych pracownika przed niezgodnym z prawem wykorzystaniem lub utratą;
• Pracodawca ma obowiązek za podpisem zapoznać pracowników i ich przedstawicieli z procedurą przetwarzania danych osobowych pracowników oraz ich prawami i obowiązkami w tym zakresie.

Jednocześnie wymogów ochrony danych osobowych pracowników nie można rozpatrywać w oderwaniu od problematyki przekazywania danych osobowych. Tym samym pracodawca przekazując dane osobowe pracownika ma obowiązek dochować określonych wymogów.

Należą do nich w szczególności (art. 88 Kodeksu pracy Federacji Rosyjskiej):

• co do zasady nie udostępniaj danych osobowych pracownika podmiotowi trzeciemu bez pisemnej zgody pracownika;
• uprzedzić osoby otrzymujące dane osobowe pracownika, że ​​dane te mogą być wykorzystane wyłącznie w celu, w jakim zostały przekazane;
• przekazywać dane osobowe pracownika w ramach jednej organizacji zgodnie z lokalnymi przepisami, z którymi pracownik musi się zapoznać, z podpisem;
• zezwalać na dostęp do danych osobowych pracowników jedynie specjalnie upoważnionym osobom;
• nie żądaj informacji o stanie zdrowia pracownika (z wyjątkiem przypadków związanych ze sprawdzeniem zdolności pracownika do pełnienia funkcji służbowej).

Jednocześnie nie zawsze wymagana jest zgoda pracownika na przekazanie danych osobowych. Zatem zgoda nie jest wymagana, gdy przekazanie danych osobowych jest konieczne, aby zapobiec zagrożeniu życia i zdrowia pracownika (art. 88 ust. 2 Kodeksu pracy Federacji Rosyjskiej) lub jest konieczne na podstawie innych przepisów federalnych prawa (obejmuje to np. informacje dla Funduszu Emerytalnego Federacji Rosyjskiej, Funduszu Ubezpieczeń Społecznych, organów podatkowych itp.).

Odpowiedzialność za naruszenie wymogów ochrony danych osobowych

Odpowiedzialność za naruszenia wymogów dotyczących przetwarzania i ochrony danych osobowych pracowników jest zróżnicowana. Dotyczy to zarówno pracowników, jak i samego pracodawcy.

Przykładowo, pracownik może zostać zwolniony za ujawnienie danych osobowych innego pracownika, o których dowiedział się w trakcie wykonywania obowiązków służbowych. W końcu zostanie to uznane za rażące naruszenie przez pracownika jego obowiązków pracowniczych (klauzula „c” art. 81 ust. 6 Kodeksu pracy Federacji Rosyjskiej).

I na przykład przetwarzanie danych osobowych w przypadkach nieprzewidzianych przez ustawodawstwo Federacji Rosyjskiej może pociągać za sobą karę grzywny dla urzędników od 5 000 do 10 000 rubli, a dla organizacji zatrudniającej - od 30 000 do 50 000 rubli (Część 1 Artykuł 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej).

Należy pamiętać, że kary znacznie wzrosły od 1 lipca 2017 r. Jeśli wcześniej maksymalna kara dla organizacji za naruszenie procedury gromadzenia, przechowywania, wykorzystywania lub rozpowszechniania danych osobowych wynosiła 10 000 rubli, to od 1 lipca 2017 r. wzrosła do 75 000 rubli.

Rozporządzenie o ochronie danych osobowych 2017: Przykład

Biorąc pod uwagę, że pracownicy mają prawo do pełnej informacji o swoich danych osobowych i przetwarzaniu tych danych, pracodawca jest zobowiązany do zapoznania ich z odpowiednimi dokumentami (art. 89 ust. 2 Kodeksu pracy Federacji Rosyjskiej). W tym celu można opracować Rozporządzenie o Ochronie Danych Osobowych, z którym pracodawca ma obowiązek zapoznać wszystkich nowozatrudnionych pracowników.

Tutaj znajdziesz Regulamin przetwarzania i ochrony danych osobowych, zamieszczony w systemie informacji prawnej ConsultantPlus.

ZATWIERDZAŁEM ______________________________________ (nazwisko stanowiska kierownika przedsiębiorstwa) ____________________________________ (imię i nazwisko, podpis) „__”_________ ___ g.

REGULAMIN w sprawie przetwarzania i ochrony danych osobowych pracowników 1

1. POSTANOWIENIA OGÓLNE

1.1. Niniejsze rozporządzenie określa tryb przyjmowania, rejestrowania, przetwarzania, gromadzenia i przechowywania dokumentów zawierających informacje dotyczące danych osobowych pracowników przedsiębiorstwa. Przez pracowników rozumie się osoby, które zawarły z przedsiębiorstwem umowę o pracę.

1.2. Celem niniejszego rozporządzenia jest ochrona danych osobowych pracowników przedsiębiorstwa przed nieuprawnionym dostępem i ujawnieniem. Dane osobowe są zawsze informacjami poufnymi, ściśle chronionymi.

1.3. Podstawą opracowania niniejszego rozporządzenia jest Konstytucja Federacji Rosyjskiej, Kodeks pracy Federacji Rosyjskiej oraz inne aktualne regulacyjne akty prawne Federacji Rosyjskiej.

1.4. Niniejszy regulamin i jego zmiany zatwierdza kierownik przedsiębiorstwa i wprowadza na zlecenie przedsiębiorstwa. Wszyscy pracownicy przedsiębiorstwa muszą zapoznać się z niniejszym rozporządzeniem i jego zmianami.

2. POJĘCIE I SKŁAD DANYCH OSOBOWYCH

2.1. Dane osobowe pracowników oznaczają informacje niezbędne pracodawcy ze stosunków pracy i dotyczące konkretnego pracownika, a także informacje o faktach, wydarzeniach i okolicznościach z życia pracownika, które pozwalają na identyfikację jego tożsamości.

2.2. Skład danych osobowych pracownika:

Autobiografia;

Edukacja;

Informacje o pracy i ogólnym doświadczeniu;

Informacje o Twoim poprzednim miejscu pracy;

Informacje o składzie rodziny;

Szczegóły paszportu;

Informacje o rejestracji wojskowej;

Informacja o wynagrodzeniu pracownika;

Informacje o świadczeniach socjalnych;

Specjalność;

zajmowane stanowisko;

Wysokość wynagrodzenia;

Posiadanie przeszłości kryminalnej;

Adres zamieszkania;

Telefon domowy;

Oryginały i kopie poleceń dla personelu;

Akta osobowe i akta pracy pracowników;

Podstawy poleceń dotyczące personelu;

Kopie raportów przesyłane do organów statystycznych;

Kopie dokumentów edukacyjnych;

Wyniki badań lekarskich stwierdzających przydatność do pracy;

Zdjęcia i inne informacje związane z danymi osobowymi pracownika;

przynależność człowieka do określonego narodu, grupy etnicznej, rasy;

Nawyki i hobby, w tym szkodliwe (alkohol, narkotyki itp.);

Stan cywilny, obecność dzieci, więzi rodzinne;

Przekonania religijne i polityczne (przynależność do wyznania religijnego, przynależność do partii politycznej, uczestnictwo w stowarzyszeniach publicznych, w tym w związkach zawodowych itp.);

Sytuacja finansowa (dochody, zadłużenie, własność nieruchomości, lokaty gotówkowe itp.);

Biznes i inne cechy osobiste o charakterze oceniającym;

Inne informacje, które mogą zidentyfikować osobę.

Z tej listy pracodawca ma prawo otrzymać i wykorzystać jedynie te informacje, które charakteryzują obywatela jako stronę umowy o pracę.

2.3. Dokumenty te mają charakter poufny. Zachowanie poufności danych osobowych zostaje zniesione w przypadku depersonalizacji lub po upływie ____ lat okresu przechowywania, chyba że prawo stanowi inaczej.

3. OBOWIĄZKI PRACODAWCY

3.1. W celu zapewnienia praw i wolności człowieka i obywatela pracodawca i jego przedstawiciele, przetwarzając dane osobowe pracownika, mają obowiązek przestrzegać następujących ogólnych wymogów:

3.1.1. Przetwarzanie danych osobowych pracownika może odbywać się wyłącznie w celu zapewnienia zgodności z przepisami prawa i innymi przepisami, pomocy pracownikom w zatrudnieniu, szkoleniu i awansie, zapewnienia bezpieczeństwa osobistego pracowników, monitorowania ilości i jakości wykonywanej pracy oraz zapewnienia bezpieczeństwo mienia.

3.1.2. Ustalając zakres i treść przetwarzanych danych osobowych pracownika, pracodawca musi kierować się Konstytucją Federacji Rosyjskiej, Kodeksem pracy Federacji Rosyjskiej oraz innymi przepisami federalnymi.

3.1.3. Od niego należy pozyskać wszelkie dane osobowe pracownika. Jeżeli dane osobowe pracownika można pozyskać jedynie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę. Pracodawca ma obowiązek poinformować pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze danych osobowych, które mają zostać pozyskane oraz o konsekwencjach odmowy wyrażenia przez pracownika pisemnej zgody na ich otrzymanie.

3.1.4. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika dotyczących jego przekonań politycznych, religijnych i innych oraz życia prywatnego. W sprawach bezpośrednio związanych ze stosunkami pracy, zgodnie z art. 24 Konstytucji Federacji Rosyjskiej pracodawca ma prawo otrzymywać i przetwarzać dane dotyczące życia prywatnego pracownika wyłącznie za jego pisemną zgodą.

3.1.5. Pracodawca nie ma prawa otrzymywać i przetwarzać danych osobowych pracownika dotyczących jego członkostwa w stowarzyszeniach publicznych lub działalności związkowej, z wyjątkiem przypadków przewidzianych przez prawo federalne.

3.1.6. Pracodawca, podejmując decyzje mające wpływ na interes pracownika, nie ma prawa opierać się na danych osobowych pracownika uzyskanych wyłącznie w wyniku ich zautomatyzowanego przetwarzania lub otrzymania drogą elektroniczną.

3.1.7. Pracodawca musi zapewnić ochronę danych osobowych pracownika przed bezprawnym wykorzystaniem lub utratą na jego koszt w sposób określony przez prawo federalne.

3.1.8. Pracownicy i ich przedstawiciele muszą zostać zapoznani, za podpisem, z dokumentami spółki określającymi tryb przetwarzania danych osobowych pracowników, a także ich prawa i obowiązki w tym zakresie.

3.1.9. Pracownicy nie powinni zrzekać się prawa do zachowania i ochrony tajemnic.

4. OBOWIĄZKI PRACOWNIKA

Pracownik jest zobowiązany:

4.1. Przekaż pracodawcy lub jego przedstawicielowi zestaw wiarygodnych udokumentowanych danych osobowych, których wykaz określa Kodeks pracy Federacji Rosyjskiej.

4.2. Niezwłocznie, w rozsądnym terminie, nie dłuższym niż 5 dni, poinformuj pracodawcę o zmianach w Twoich danych osobowych.

5. PRAWA PRACOWNIKA

Pracownik ma prawo:

5.1. Aby uzyskać pełne informacje na temat Twoich danych osobowych i przetwarzania tych danych.

5.2. Bezpłatny, bezpłatny dostęp do Twoich danych osobowych, w tym prawo do otrzymania kopii wszelkich akt zawierających dane osobowe pracownika, z wyjątkiem przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej.

5.3. Dostęp do informacji medycznych za pośrednictwem wybranego przez Ciebie lekarza.

5.4. Żądania usunięcia lub sprostowania nieprawidłowych lub niekompletnych danych osobowych, a także danych przetwarzanych z naruszeniem wymogów określonych przepisami prawa pracy. Jeżeli pracodawca odmówi wyłączenia lub sprostowania danych osobowych pracownika, ma on prawo zgłosić pracodawcy na piśmie swój sprzeciw wraz z odpowiednim uzasadnieniem takiego sprzeciwu. Pracownik ma prawo do uzupełnienia danych osobowych o charakterze wartościującym oświadczeniem wyrażającym jego własny punkt widzenia.

5.5. Wymagać od pracodawcy powiadamiania wszystkich osób, którym wcześniej przekazano nieprawidłowe lub niekompletne dane osobowe pracownika, o wszelkich dokonanych w nich wyjątkach, sprostowaniach lub uzupełnieniach.

5.6. Odwołaj się do sądu w przypadku niezgodnych z prawem działań lub zaniechań pracodawcy w zakresie przetwarzania i ochrony jego danych osobowych.

5.7. Zidentyfikuj swoich przedstawicieli, aby chronić Twoje dane osobowe.

6. ZBIERANIE, PRZETWARZANIE I PRZECHOWYWANIE DANYCH OSOBOWYCH

6.1. Przetwarzanie danych osobowych pracownika polega na otrzymaniu, przechowywaniu, łączeniu, przekazywaniu lub innym wykorzystaniu danych osobowych pracownika.

6.2. Od niego należy pozyskać wszelkie dane osobowe pracownika. Jeżeli dane osobowe pracownika można pozyskać jedynie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę.

6.3. Pracodawca ma obowiązek poinformować pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze danych osobowych, które mają zostać pozyskane oraz o konsekwencjach odmowy wyrażenia przez pracownika pisemnej zgody na ich otrzymanie.

6.4. Pracownik dostarcza pracodawcy rzetelnych informacji o sobie. Pracodawca weryfikuje prawdziwość informacji poprzez porównanie danych podanych przez pracownika z dokumentami, którymi pracownik dysponuje. Złożenie przez pracownika fałszywych dokumentów lub fałszywych informacji przy ubieganiu się o pracę jest podstawą do rozwiązania umowy o pracę.

6,5. Ubiegając się o pracę, pracownik wypełnia ankietę i autobiografię.

6.5.1. Ankieta jest listą pytań dotyczących danych osobowych pracownika.

6.5.2. Ankietę wypełnia pracownik samodzielnie. Wypełniając ankietę, pracownik ma obowiązek wypełnić wszystkie jej rubryki, udzielić wyczerpujących odpowiedzi na wszystkie pytania oraz unikać dokonywania poprawek lub przekreśleń, myślników i plam, zachowując ścisłą zgodność z zapisami zawartymi w jego dokumentach osobistych.

6.5.3. Autobiografia to dokument zawierający opis w porządku chronologicznym głównych etapów życia i działalności zatrudnionego pracownika.

6.5.4. Autobiografię sporządzono w dowolnej formie, bez skreśleń i poprawek.

6.5.5. Kwestionariusz i autobiografię pracownika należy przechowywać w aktach osobowych pracownika. W aktach osobowych przechowywane są także inne akta osobowe związane z danymi osobowymi pracownika.

6.5.6. Akta osobowe pracownika sporządza się po wydaniu polecenia zatrudnienia.

6.5.7. Wszystkie dokumenty akt osobowych składane są w okładce próbki ustalonej w przedsiębiorstwie. Wskazuje nazwisko, imię, patronimikę pracownika i numer akt osobowych.

6.5.8. Do każdej akt osobowych dołączone są dwie kolorowe fotografie pracownika, rozmiar ______.

6.5.9. Wszystkie dokumenty otrzymane w aktach osobowych ułożone są w porządku chronologicznym. Arkusze dokumentów składanych w aktach osobowych są numerowane.

6.5.10. Akta osobowe prowadzone są przez cały okres kariery zawodowej pracownika. Zmiany dokonane w aktach osobowych muszą zostać potwierdzone odpowiednimi dokumentami.

7. PRZENIESIENIE DANYCH OSOBOWYCH

7.1. Przekazując dane osobowe pracownika, pracodawca ma obowiązek spełnić następujące wymagania:

Nie udostępniaj danych osobowych pracownika osobom trzecim bez pisemnej zgody pracownika, z wyjątkiem przypadków, gdy jest to konieczne w celu zapobieżenia zagrożeniu życia i zdrowia pracownika, a także przypadków przewidzianych przez prawo federalne;

Nie udostępniaj danych osobowych pracownika w celach komercyjnych bez jego pisemnej zgody;

Pouczyć osoby otrzymujące dane osobowe pracownika, że ​​dane te mogą być wykorzystane wyłącznie w celu, w jakim zostały przekazane, i zażądać od tych osób potwierdzenia przestrzegania tej zasady. Osoby otrzymujące dane osobowe pracowników zobowiązane są do zachowania poufności. Przepis ten nie ma zastosowania do wymiany danych osobowych pracowników w sposób określony w przepisach federalnych;

Zezwalaj na dostęp do danych osobowych pracowników jedynie specjalnie upoważnionym osobom, przy czym osoby te powinny mieć prawo do otrzymania tylko tych danych osobowych pracownika, które są niezbędne do wykonywania określonych funkcji;

Nie żądaj informacji o stanie zdrowia pracownika, z wyjątkiem informacji, które dotyczą kwestii zdolności pracownika do pełnienia funkcji zawodowej;

Przekazuj dane osobowe pracownika przedstawicielom pracowników w sposób określony w Kodeksie pracy Federacji Rosyjskiej i ograniczaj te informacje wyłącznie do tych danych osobowych pracowników, które są niezbędne tym przedstawicielom do wykonywania swoich funkcji.

8. DOSTĘP DO DANYCH OSOBOWYCH PRACOWNIKÓW

8.1. Dostęp wewnętrzny (dostęp wewnątrz przedsiębiorstwa).

Prawo dostępu do danych osobowych pracowników mają:

Szef przedsiębiorstwa;

Kierownik Działu HR;

Kierownicy pionów strukturalnych w obszarze działalności (dostęp do danych osobowych tylko pracowników swojego oddziału) w porozumieniu z kierownikiem przedsiębiorstwa;

W przypadku przeniesienia z jednej jednostki strukturalnej do drugiej kierownik nowej jednostki może mieć dostęp do danych osobowych pracownika w porozumieniu z kierownikiem przedsiębiorstwa;

Pracownicy księgowi – do danych niezbędnych do wykonywania określonych funkcji;

Sam pracownik, nośnik danych.

8.2. Dostęp zewnętrzny.

Dane osobowe na zewnątrz organizacji mogą być przekazane do rządowych i pozarządowych struktur funkcjonalnych:

inspektoraty podatkowe;

Organy scigania;

Władze statystyczne;

Agencje ubezpieczeniowe;

Wojskowe urzędy rejestracyjne i poborowe;

Organy ubezpieczeń społecznych;

Fundusze emerytalne;

Podziały organów samorządu miejskiego.

8.3. Inne organizacje.

Informacje o pracowniku (w tym o pracowniku zwolnionym) można przekazać innej organizacji wyłącznie na pisemny wniosek złożony na papierze firmowym organizacji wraz z kopią wniosku pracownika.

8.4. Krewni i członkowie rodziny.

Dane osobowe pracownika mogą być udostępniane bliskim lub członkom jego rodziny wyłącznie za pisemną zgodą samego pracownika.

9. OCHRONA DANYCH OSOBOWYCH PRACOWNIKÓW

9.1. W celu zapewnienia bezpieczeństwa i poufności danych osobowych pracowników organizacji, wszelkie czynności związane z rejestracją, generowaniem, utrzymywaniem i przechowywaniem tych informacji powinny być wykonywane wyłącznie przez pracowników działu personalnego, którzy wykonują tę pracę zgodnie ze swoimi obowiązkami służbowymi zgodnie z opisem ich stanowisk pracy.

9.2. Odpowiedzi na pisemne wnioski innych organizacji i instytucji, w granicach ich kompetencji i przyznanych uprawnień, udzielane są w formie pisemnej na papierze firmowym spółki i w zakresie pozwalającym na nieujawnianie nadmiernej ilości danych osobowych pracowników spółki.

9.3. Przekazywanie informacji zawierających informacje o danych osobowych pracowników organizacji drogą telefoniczną, faksową lub e-mailową bez pisemnej zgody pracownika jest zabronione.

9.4. Akta osobowe i dokumenty zawierające dane osobowe pracowników przechowywane są w zamykanych na klucz szafach (sejfach), które zapewniają ochronę przed nieuprawnionym dostępem.

9,5. Komputery osobiste zawierające dane osobowe muszą być chronione hasłami dostępu.

10. ODPOWIEDZIALNOŚĆ ZA UJAWNIENIE INFORMACJI DOTYCZĄCYCH DANYCH OSOBOWYCH PRACOWNIKA

10.1. Osoby winne naruszenia zasad dotyczących przyjmowania, przetwarzania i ochrony danych osobowych pracowników ponoszą odpowiedzialność dyscyplinarną, administracyjną, cywilną lub karną zgodnie z przepisami federalnymi.

Inspektor GIT sprawdzi, czy pracodawca zaakceptował Regulamin pracy z danymi osobowymi. Jak sporządzić dokument, aby jego treść była zgodna z prawem i gotowy wzór dokumentu, zobacz artykuł.

W artykule:

Pobierz dokumenty na ten temat:

Przepisy dotyczące danych osobowych pracowników: wzór z 2020 r

W trakcie procesu zatrudnienia, a często nawet wcześniej, na etapie wstępnych ankiet i rozmów kwalifikacyjnych, pracownik przekazuje pracodawcy pewne informacje o charakterze osobistym. Informacje takie mają charakter poufny i nie podlegają udostępnieniu osobom trzecim. Co więcej, nie można żądać wszystkich rodzajów informacji – na przykład pytanie o przynależność religijną lub poglądy polityczne kandydata byłoby nieodpowiednie podczas jakiejkolwiek rozmowy kwalifikacyjnej.

Pracodawca może interesować się jedynie tymi aspektami życia osobistego pracownika, które są bezpośrednio związane z jego pracą i mogą mieć wpływ na jakość jego pracy.

Definicja danych osobowych zawarta jest w ustawie nr 152-FZ z dnia 27 lipca 2006 r. Jest to kluczowy dokument regulacyjny, który na poziomie federalnym ustanawia podstawowe zasady i zasady postępowania z danymi osobowymi. Zgodnie z art. 3 ustawy nr 152-FZ, osobisty brane są pod uwagę wszelkie dane odnoszące się bezpośrednio lub pośrednio do konkretnego podmiotu (osoby fizycznej). Podmiot może przekazać informacje o sobie operatorowi – organowi państwowemu lub samorządowemu, pracodawcy (osobie prawnej lub fizycznej).

Regulamin pracy z danymi osobowymi pracowników

Operator nie ma prawa przetwarzać otrzymanych informacji ani udostępniać ich osobom trzecim bez zgody podmiotu. Ochrona danych osobowych zapewniają ustawodawstwo Federacji Rosyjskiej: wspomniana ustawa federalna nr 152-FZ, poszczególne artykuły Kodeksu pracy, karnego i cywilnego Federacji Rosyjskiej, a także art. 5.39 i 13.11-13.14 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej. Zasady te mają zastosowanie do organizacji wszelkich form własności.

Każda firma gromadząca dane osobowe swoich pracowników ma obowiązek sporządzić i zatwierdzić oświadczenie o ochronie danych osobowych pracowników. Tak nazywa się lokalny akt prawny, który określa procedurę pracy z danymi osobowymi w ramach konkretnego przedsiębiorstwa zgodnie z wymogami art. 87 Kodeks pracy Federacji Rosyjskiej. W sferze państwowej służby cywilnej opracowywane jest „Rozporządzenie w sprawie danych osobowych urzędnika państwowego i prowadzenia jego akt osobowych”, zgodnie z wymogami Dekretu Prezydenta Federacji Rosyjskiej nr 609 z dnia 30 maja , 2005.

Aby bezbłędnie wypełnić Regulamin Przetwarzania Danych Osobowych, skorzystaj z usługi internetowej „Systemy Kadrowe”

Skorzystaj teraz

Główne rodzaje danych osobowych

Konwencjonalnie cały wolumen danych osobowych na dany temat można podzielić na pięć typów:

• są pospolite;
• publiczny;
• bezosobowy;
• specjalny;
• biometryczny.

Za informacje ogólne uważa się dane paszportowe danej osoby (nazwisko, imię, nazwisko rodowe, data urodzenia, stan cywilny), adres, numer telefonu, informacje o otrzymanym wykształceniu itp. Obowiązujące przepisy nie zawierają wyczerpującej listy danych ogólnych, ale bardzo szczegółowo wymieniają rodzaje danych specjalnych, dla których ustanowiono specjalne zasady gromadzenia, przetwarzania i przechowywania. Należą do nich informacje o:

• stan zdrowia;
• życie intymne;
• posiadanie przeszłości kryminalnej;
• religia;
• przekonania filozoficzne i polityczne;
• rasa i narodowość.

Dane szczególne do przetwarzania możesz żądać tylko w ściśle określonych przypadkach – w celach medycznych (z zachowaniem tajemnicy lekarskiej) lub w celach ubezpieczeniowych, w celu wymierzania sprawiedliwości, w ramach przeciwdziałania terroryzmowi, w celu ochrony życia lub zdrowia podmiotu . Informacje z rejestru karnego są przetwarzane tylko wtedy, gdy istnieje prawo federalne określające potrzebę takiego przetwarzania. Ponadto nie jest zabronione przetwarzanie informacji szczególnych, jeżeli podmiot sam wyraził na to zgodę lub udostępnił je publicznie.

Kołyska. Kiedy dane osobowe mogą być przetwarzane bez zgody pracownika

Uwaga! Za informację publiczną uważa się informację zamieszczoną przez właściciela w źródłach publicznych - gazetach, czasopismach, książkach adresowych i telefonicznych, portalach społecznościowych.

Biometria to informacja o cechach fizjologicznych lub biologicznych konkretnej osoby: wzroście, budowie ciała, odciskach palców, wzorze tęczówki, wynikach badań genetycznych i innych, które pozwalają ustalić jego tożsamość. Czasami nie można się bez nich obejść. Typowy przypadek stosowania „biometrii” opisano w nocie „Czy pracodawca może pobrać odciski palców od pracowników w celu zorganizowania kontroli dostępu”: wyniki pobrania odcisków palców pozwalają na błyskawiczną identyfikację pracownika, co jest bardzo ważne przy realizacji wydarzeń o ograniczonym dostępie .

Dane biometryczne powinny być przetwarzane i przechowywane zgodnie z Dekretem Rządu Federacji Rosyjskiej nr 512 z dnia 6 lipca 2008 roku. Po osiągnięciu lub utracie celu przetwarzania dane biometryczne, specjalne i ogólne muszą zostać zanonimizowane. Nie da się ustalić, czy zanonimizowane informacje (np. przetworzone wyniki raportów statystycznych i ankiet) należą do konkretnej osoby.

Uwaga! Dane, które z przyczyn obiektywnych nie mogą zostać zanonimizowane, muszą zostać zniszczone.

Tworząc regulacje dotyczące danych osobowych pracowników, nie zapomnij spisać zasad przetwarzania poszczególnych rodzajów informacji, w tym danych biometrycznych, jeśli organizacja je gromadzi i wykorzystuje w swojej pracy.

Jakie funkcje spełnia przepis o ochronie danych osobowych?

Tak czy inaczej, pracodawca uzyskuje dostęp do pewnych informacji z życia prywatnego pracownika. Wypełnienie, zapewnienie różnych świadczeń i odszkodowań, złożenie odliczenia podatkowego – to tylko niewielka lista standardowych procedur, w przypadku których trzeba poprosić pracownika o informacje na temat jego stanu zdrowia, składu rodziny itp. A po dokonaniu przetwarzania niezbędny jest także zapis dotyczący ochrony danych osobowych (przykładowy dokument omówiono poniżej).

Uwaga! Musisz otrzymać dane osobowe pracownika bezpośrednio od niego, a nie od osób trzecich.

Nawet w obrębie tej samej organizacji dane osobowe można przekazywać wyłącznie zgodnie z lokalnymi przepisami, z którymi cały personel musi się najpierw zapoznać i podpisać. Konieczność takiego zapoznania się jest zapisana w klauzuli 8 art. 86 Kodeks pracy Federacji Rosyjskiej.

Przepisy dotyczące danych osobowych pracowników: przykładowa struktura

Sama koncepcja przetwarzania informacji obejmuje różne rodzaje operacji wymienione w art. 3 ust. 3 ustawy federalnej nr 152-FZ. Po pierwsze, informacje są gromadzone, rejestrowane i systematyzowane. Następnie następuje ich gromadzenie, przechowywanie i wykorzystanie. Dane można udoskonalać, aktualizować lub zmieniać, odzyskiwać i przesyłać. Jeżeli nie ma potrzeby wykorzystywania danych osobowych, są one anonimizowane lub niszczone. Dlatego też przepisy dotyczące pracy z danymi osobowymi pracowników zostały podzielone na sekcje poświęcone różnym etapom przetwarzania informacji:

• Postanowienia ogólne;
• odbiór i systematyzacja;
• składowanie;
• stosowanie;
• audycja;
• gwarancje poufności.

Oczywiście proponowaną strukturę można modyfikować w miarę potrzeb – łącząc istniejące sekcje i dodając nowe, w tym dodatkowe listy i aplikacje. Jednak nawet najprostsze standardowe podanie danych osobowych pracownika to wygodny punkt wyjścia, na podstawie którego można opracować pełnoprawny dokument, dostosowany do warunków funkcjonowania konkretnego przedsiębiorstwa.

Oświadczenie w sprawie danych osobowych: procedura przetwarzania i przechowywania informacji

Przy opracowywaniu oświadczenia dotyczącego danych osobowych podstawą może być próbka. Na szczególną uwagę zasługują rozdziały poświęcone procedurze gromadzenia, systematyzowania i przechowywania informacji. Im bardziej szczegółowo opisano każdy punkt, tym lepiej i bezpieczniej dla pracodawcy. Jeżeli przeprowadzana jest obowiązkowa ankieta wśród wnioskodawców, należy opisać procedurę możliwie najdokładniej i wymienić konkretne rodzaje wymaganych informacji:

Przechowywanie wszelkich nośników danych osobowych – papierowych, elektronicznych i wszelkich innych – wiąże się z ograniczaniem dostępu do nich. Do tych celów wykorzystywane są oddzielne pomieszczenia, sejfy, zamykane szafki, specjalne teczki i elektroniczne bazy danych chronione hasłem. Tylko ograniczona liczba urzędników może żądać informacji poufnych bez specjalnego zezwolenia.

Wszystkie te niuanse trzeba uwzględnić w przepisach o ochronie danych osobowych pracowników. Przykładowa sekcja wyglądałaby mniej więcej tak:

Każdy pracownik ma prawo wiedzieć dokładnie, w jaki sposób i w jakim zakresie jego dane osobowe są przetwarzane i wykorzystywane, a także poprawić lub wykluczyć nieprawidłowe, niekompletne lub nieprawidłowo przetworzone informacje na jego temat.

Regulamin pracy z danymi osobowymi pracowników: przykładowy projekt sekcji dotyczącej przekazywania informacji

Pracodawca może przekazywać dane osobowe osobom trzecim, ale tylko pod pewnymi warunkami – na przykład w celu zapobieżenia zagrożeniu życia i zdrowia pracownika lub w przypadkach przewidzianych przez przepisy federalne. W takim przypadku dane nie stają się publicznie dostępne, lecz przekazywane są w sposób poufny osobie upoważnionej.

We wszystkich innych przypadkach obowiązuje norma zapisana w art. 7 ustawy nr 152-FZ i wymaga za każdym razem, gdy zajdzie taka potrzeba, zwrócenia się do podmiotu. W takim przypadku dane przekazywane są w ograniczonej ilości niezbędnej do wykonania określonej funkcji i nic więcej.

Koniecznie do przepisu o danych osobowych pracowników należy dodać zapis dotyczący zasad przekazywania informacji poufnych. Przykładowy projekt sekcji wygląda następująco:

Pracodawca ma obowiązek prowadzić rejestr ujawnień wszelkich danych osobowych dotyczących pracowników przedsiębiorstwa. W tym celu tworzony jest specjalny dziennik (książka) lub dokument elektroniczny. W idealnym przypadku zapisy powinny być powielane i zapisywane zarówno na nośnikach elektronicznych, jak i papierowych.

Jak zatwierdzić rozporządzenie w sprawie danych osobowych pracowników: przykładowe zamówienie

Istnieją dwa sposoby zatwierdzenia przepisu dotyczącego ochrony danych osobowych pracowników: lub po prostu podanie specjalnego pola na dane certyfikacyjne na formularzu dokumentu głównego. Pracodawcy, którzy nie chcą mnożyć ilości dokumentów, preferują zazwyczaj drugą metodę i dodają niezbędne pola w nagłówku dokumentu.

Zatwierdzając dokument, szef organizacji składa na nim swój osobisty podpis i pieczęć. W przypadku wybrania pierwszej, bardziej pracochłonnej metody zatwierdzania, sporządzany jest odpowiedni dokument administracyjny. Jest sporządzony w sposób ogólny i w zasadzie nie różni się od standardowych.

Jeżeli pracodawca stosował wcześniej inną wersję rozporządzenia, w chwili wejścia w życie nowej wersji za wzór przyjmuje się zarządzenie zatwierdzające Regulamin pracy z danymi osobowymi lub inną ustawę miejscową.

Zarządzenie w sprawie zatwierdzenia Regulaminu pracy z danymi osobowymi

Uwaga! Jeżeli organizacja posiada dział prawny lub wewnętrznego doradcę prawnego, zaleca się uzgodnienie z nim przepisów dotyczących ochrony danych osobowych pracowników przed przesłaniem dokumentu do ostatecznego zatwierdzenia kierownikowi przedsiębiorstwa.

Informacja o przetwarzaniu danych osobowych

Oprócz szeregu podstawowych środków ochrony danych osobowych personelu, prawo przewiduje inny obowiązek operatora - powiadamianie Roskomnadzor o zbliżającym się przetwarzaniu danych osobowych. Norma ta występuje w ustawodawstwie rosyjskim od 2007 roku. Obecnie stosowany formularz zgłoszeniowy został zatwierdzony w 2008 roku.

Od razu zaznaczmy, że obowiązek zgłoszenia nie dotyczy wszystkich pracodawców. Zgodnie z art. 22 ustawy nr 152-FZ organizacje, które:

• przetwarzać otrzymane informacje zgodnie z przepisami prawa pracy;
• otrzymywać informacje w związku z zawarciem umowy i wykorzystywać je wyłącznie w ramach realizacji umów;
• otrzymywać dane uznawane za publicznie dostępne lub zawierające wyłącznie nazwiska, imiona i patronimiki podmiotów;
• jednorazowo zażądać informacji w celu umożliwienia podmiotowi wjazdu na terytorium operatora;
• mają charakter religijny lub społeczny i przetwarzają informacje w sposób poufny, aby osiągnąć uzasadnione cele.

Aby nie powiadamiać Roskomnadzoru za każdym razem o przetwarzaniu danych, pracodawca, który wykorzystuje informacje o pracownikach wyłącznie w ramach prawa pracy, może ustalić odpowiedni warunek w dokumentach wewnętrznych. Należy podać w regulaminach i innych aktach lokalnych główne kierunki działalności firmy oraz cele, dla których zbiera i przetwarza dane osobowe dotyczące personelu.

Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych

Za naruszenie przepisów dotyczących ochrony danych osobowych winny może zostać pociągnięty nie tylko do odpowiedzialności dyscyplinarnej, ale także do odpowiedzialność administracyjna , a w niektórych przypadkach – odpowiedzialność karną. Miarę odpowiedzialności dobiera się biorąc pod uwagę rodzaj, wagę i okoliczności przestępstwa.

Należy pamiętać, że zarówno nieuprawniony dostęp do informacji elektronicznych chronionych prawem, jak i naruszenie prywatności uznawane są za poważne naruszenia. Dotyczy to także niewłaściwego przechowywania danych osobowych, a także niezamierzonego, popełnionego bez złej woli, ujawnienia informacji poufnych, do których uzyskano dostęp w trakcie wykonywania obowiązków służbowych. Pokrzywdzony może za pośrednictwem sądu żądać naprawienia szkody materialnej i moralnej wyrządzonej niezgodnym z prawem działaniem funkcjonariusza.

Wysokość kar płaconych przez pracodawców za nieprzestrzeganie zasad przetwarzania danych osobowych pracowników stale rośnie i obecnie sięga kilkudziesięciu tysięcy rubli. Zatem jeśli organizacja nie stosuje lub nie posiada przepisu dotyczącego ochrony danych osobowych pracowników, wzór dokumentu sporządzony z uwzględnieniem wszystkich wymogów prawa oczywiście nie będzie zbędny.

Aby móc przetwarzać dane osobowe pracowników bez kary pieniężnej ze strony Państwowej Inspekcji Skarbowej, pracodawca musi sporządzić i zatwierdzić Regulamin przetwarzania danych osobowych pracowników. Przepis ten jest dokumentem obowiązkowym, który musi znajdować się w organizacji. Przygotuj Regulamin w dowolnej formie i zawrzyj w nim wszystkie elementy procedury przetwarzania danych osobowych w Twojej firmie. Zatwierdź gotowy dokument na zlecenie pracodawcy.

Za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej na podstawie takich informacji”. Pojęcie to obejmuje niemal wszystkie informacje, które przetwarza pracodawca: datę urodzenia pracownika, stan cywilny, wykształcenie, adres zamieszkania itp. Dane te są przechowywane na kartach osobistych i są aktywnie wykorzystywane w umowach o pracę i kontraktach, zamówieniach, odcinkach wypłaty, wypłatach druki, wnioski i wiele innych dokumentów.

Pracodawca może uzyskać dane osobowe wyłącznie z pierwszej ręki, czyli od samej osoby. Jeżeli osobiste zebranie informacji nie jest możliwe, można je uzyskać za pośrednictwem osób trzecich, ale za zgodą samego pracownika. Jednocześnie powinien wyjaśnić, w jakim celu zbierane są informacje, w jaki sposób zostaną one wykorzystane i co się stanie, jeśli pracownik odmówi wyrażenia zgody na zbieranie i przetwarzanie informacji o nim.

Prawo ogranicza katalog sytuacji, w których pracodawca może zbierać dane. Do najważniejszych należą:

• ochrona życia i zdrowia podwładnych;
• pomoc w zatrudnieniu i edukacji;
• promocja rozwoju kariery;
• kontrola nad wykonywaniem przez pracownika jego funkcji pracowniczych;
• ochrona dóbr materialnych;
• przestrzeganie prawa.

Odpowiedzialność za naruszenia w pracy z danymi osobowymi

Od 1 lipca 2017 roku znacząco wzrośnie odpowiedzialność za błędy w tym zakresie. Znacząco rozszerzono katalog naruszeń, za które można pociągnąć pracodawcę do odpowiedzialności, a ponadto zwiększono wysokość kar finansowych. Takie zmiany są zawarte w ustawie federalnej „W sprawie zmian w Kodeksie Federacji Rosyjskiej w sprawie wykroczeń administracyjnych”. Zamiast jednego rodzaju odpowiedzialności administracyjnej, jaki przewidywał art. 13.11 Kodeks wykroczeń administracyjnych Federacji Rosyjskiej ma obecnie siedem rodzajów, a każdy ma swoje własne kary:

1. Wykorzystywanie danych osobowych do celów nieprzewidzianych prawem. Kara administracyjna - ostrzeżenie lub grzywna: dla osób fizycznych od 1000 do 3000 rubli, dla urzędników - od 5000 do 10 000 rubli, dla osób prawnych - od 30 000 do 50 000 rubli.
2. Przetwarzanie danych osobowych bez zgody pracownika. Dotyczy to również przypadków, gdy podpisana przez pracownika zgoda nie zawiera wykazu informacji przewidzianych w części 4 art. 9 ustawy. Kara administracyjna - grzywny: dla osób fizycznych - od 3 000 do 5 000 rubli, dla urzędników - od 10 000 do 20 000 rubli, dla osób prawnych - od 15 000 do 75 000 rubli.
3. Naruszenie dostępu do polityki organizacji dotyczącej przetwarzania danych osobowych. Pracodawca ma obowiązek opublikować w źródłach publicznie dostępnych dokument określający jego politykę w zakresie ochrony danych osobowych pracowników. Przewidziano to w ust. 2 art. 18 ust. 1 ustawy nr 152-FZ 27.07.2006, a od 1 lipca będzie to odrębne przestępstwo, które pociąga za sobą odpowiedzialność w formie upomnienia lub grzywny: dla osób fizycznych - od 700 do 1500 rubli, dla urzędników - od 3000 do 6000 rubli, dla przedsiębiorców indywidualnych - od 5000 do 10 000 rubli. a dla osób prawnych - od 15 000 do 30 000 rubli.
4. Zatajanie przed pracownikiem informacji o celach, czasie i sposobach gromadzenia, przechowywania i przetwarzania informacji, o osobach trzecich, które będą w imieniu pracodawcy przetwarzać dane osobowe itp. W takich przypadkach pracodawca otrzymuje upomnienie lub płaci karę pieniężną : osoby fizyczne - od 1000 do 2000 rubli, urzędnicy - od 4000 do 6000 rubli, indywidualni przedsiębiorcy - od 10 000 do 15 000 rubli, osoby prawne - od 20 000 do 40 000 rubli.
5. Odmowa pracodawcy zablokowania lub zniszczenia danych osobowych zgodnie z art. 21. Odpowiedzialność administracyjna - upomnienie lub kara: dla osób fizycznych - od 1000 do 2000 rubli, dla urzędników - od 4000 do 10 000 rubli, dla przedsiębiorców indywidualnych - od 10 000 do 20 000 rubli, dla osób prawnych - od 25 000 do 45 000 rubli.
6. Brak narzędzi automatyzacji przechowywania danych osobowych, przechowywanie informacji wyłącznie w formie papierowej. Jeżeli taki pracodawca dopuści do zniszczenia, wycieku, nieuprawnionego kopiowania i/lub rozpowszechniania danych osobowych pracownika, zostanie na niego nałożona kara pieniężna: dla osób fizycznych - od 700 do 2000 rubli, dla urzędników - od 4000 do 10 000 rubli, dla indywidualnych przedsiębiorców - od 10 000 do 20 000 rubli, dla osoby prawnej - od 25 000 do 50 000 rubli.
7. Nieprzestrzeganie lub naruszenie procedury anonimizacji danych przez pracowników władz państwowych i gminnych (Zarządzenie Roskomnadzor „W sprawie zatwierdzenia wymagań i metod anonimizacji danych osobowych”). W takim przypadku urzędnikowi grozi odpowiedzialność administracyjna w postaci upomnienia lub grzywny w wysokości od 3000 do 6000 rubli.

Ustawodawstwo pozwala na sumowanie kar finansowych za różne naruszenia, dlatego błędy lub nieostrożne obchodzenie się z informacjami o pracownikach mogą być bardzo kosztowne dla pracodawcy. Ponadto od 1 lipca 2017 r. Dopuszcza się wszczynanie spraw administracyjnych dotyczących przetwarzania danych osobowych bez udziału prokuratora - mogą je wszczynać urzędnicy Roskomnadzoru (klauzula 58 część 2 art. Kodeksu postępowania administracyjnego Przestępstwa Federacji Rosyjskiej).

Prawidłowo sporządzone Rozporządzenie o Danych Osobowych pomoże Ci spełnić wymogi prawne, które powinny ujednolicić normy prawne i doprecyzować je dla organizacji.

Jak sporządzić Oświadczenie o Danych Osobowych

Prawo nie określa nazwy, struktury i obowiązkowej treści dokumentu, pracodawca ma prawo sam określić, jak będzie wyglądał Regulamin. Opracowując dokument, kierownik organizacji i specjaliści HR muszą opierać się na powyższej ustawie federalnej, a także na art. Kodeks pracy Federacji Rosyjskiej.

Regulamin danych osobowych powinien odzwierciedlać:

1. Postanowienia ogólne: cele i zadania organizacji w zakresie ochrony danych osobowych, zakres zagadnień regulowanych Regulaminem.
2. Skład danych osobowych: informacje, którymi pracodawca posługuje się w ramach stosunku pracy z pracownikiem, wykaz dokumentów zawierających te dane.
3. Tryb gromadzenia i przetwarzania informacji, w tym sposoby i miejsca przechowywania, środki zabezpieczające przed nieuprawnionym rozpowszechnianiem. Między innymi istnieje wymóg uzyskania informacji wyłącznie od samej osoby lub, za jej pisemną zgodą, od osób trzecich. Formularz zgody może zostać sporządzony jako załącznik do Regulaminu.
4. Procedura przekazywania danych osobowych zarówno wewnątrz organizacji, jak i podmiotom trzecim i agencjom rządowym. Powinno to odzwierciedlać prawny wymóg przekazywania danych osobowych pracownika stronom trzecim wyłącznie za jego pisemną zgodą. Wyjątek stanowi sytuacja, gdy jest to niezbędne dla ochrony życia i zdrowia pracownika.
5. Lista pracowników mających dostęp do danych osobowych. Najczęściej są to specjaliści HR, księgowi, szefowie działów strukturalnych itp.
6. Odpowiedzialność za ujawnienie danych osobowych pracowników. W tej sekcji należy wskazać stanowiska osób odpowiedzialnych za naruszenie zasad przechowywania, przetwarzania i przekazywania danych osobowych, a także rodzaje odpowiedzialności przewidzianej przepisami prawa (o zmianach w tym obszarze powiemy więcej poniżej).

Regulamin ochrony danych osobowych pracowników oraz wzór zgody zatwierdza kierownik organizacji. Na stronie tytułowej dokumentu umieszcza się pieczątkę z podpisem, datą zatwierdzenia i numerem protokołu. W celu wprowadzenia rozporządzenia w życie naczelnik wydaje odrębne zarządzenie.

Wszyscy pracownicy w chwili podpisania muszą zapoznać się z Regulaminem dotyczącym danych osobowych. W tym celu organizacje często prowadzą oddzielny dziennik z listą pracowników zatrudnionych w firmie.

Zgoda na przetwarzanie danych osobowych

Jest to dokument, w którym zatrudniana osoba pozwala przyszłemu pracodawcy uzyskać niezbędne informacje i wykorzystać je w ramach obowiązującego prawa.

Pracodawca nie ma prawa zbierać i wykorzystywać danych osobowych pracowników bez ich pisemnej zgody. Wyjątkiem są dane z instytucji medycznych dotyczące przeciwwskazań do określonego rodzaju aktywności.

Zgoda musi zawierać następujące informacje (część 4 artykułu 9):

• Imię i nazwisko, adres pracownika, dane paszportowe (lub inny dokument tożsamości);
• Imię i nazwisko, adres przedstawiciela pracownika, dane jego paszportu (lub innego dokumentu tożsamości), dane dotyczące pełnomocnictwa;
• imię i nazwisko lub imię i nazwisko oraz adres pracodawcy otrzymującego zgodę nośnika danych osobowych;
• wykaz danych osobowych, na przetwarzanie których wyrażana jest zgoda;
• cel przetwarzania danych osobowych;
• wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów przetwarzania tych informacji;
• okres obowiązywania zgody pracownika oraz sposób jej wycofania, chyba że prawo federalne stanowi inaczej.

Dokument podpisuje pracownik po zapoznaniu się z Regulaminem. Tę samą zgodę należy wyrazić, jeżeli dana osoba pozwala osobom trzecim na udostępnianie informacji o sobie.

Pracodawca nie ma prawa zmuszać potencjalnego pracownika do podawania jakichkolwiek informacji o sobie. Jeżeli wnioskodawca odmówi podpisania Zgody, organizacja może ponownie rozważyć decyzję o przyjęciu takiej osoby do personelu. Każdy z pracowników organizacji może również odwołać swoją zgodę (część 2, art. 9).

Po uzyskaniu przez pracodawcę zgody pracownika na przetwarzanie danych osobowych może on powierzyć je osobie trzeciej, jednak odpowiedzialność za bezpieczeństwo informacji nadal spoczywa na pracodawcy.

Obszar ochrony danych osobowych przeszedł naprawdę duże zmiany, a pracodawca powinien zachować podwójną ostrożność zarówno przy sporządzaniu Regulaminu, jak i przy pracy z danymi osobowymi pracowników. Pamiętaj, im bardziej szczegółowy i szczegółowy jest Regulamin Danych Osobowych, tym wyraźniej organizacja będzie organizować pracę w tym obszarze dokumentacji personalnej.