Regulamin ochrony danych osobowych pracowników: jak prawidłowo sporządzić, jak zatwierdzić, pobrać wzór. Ochrona danych osobowych Przepisy dotyczące ochrony danych osobowych przykład

Podstawowym dokumentem organizacji, który stanowi podstawę prawną wszelkiej pracy z tego typu danymi, jest rozporządzenie o ochronie danych osobowych pracowników. W oferowanym przez nas artykule dowiesz się o treści tego przepisu i o tym, jak z nim pracować.

Regulamin przetwarzania danych osobowych – wymogi prawne

Część 1 art. 18 ust. 1 ustawy „O danych osobowych…” z dnia 27 lipca 2006 r. Nr 152-FZ wskazuje, że organizacje lub inne podmioty (przedsiębiorcy indywidualni, władze państwowe lub gminne) pracujące z danymi osobowymi obywateli są zobowiązani do podjęcia niezbędne i wystarczające środki w celu zapewnienia zgodności z wymogami zarówno samej ustawy federalnej nr 152, jak i regulaminów przyjętych w celu jej wykonania. Jednocześnie organizacja ma prawo samodzielnie wybrać listę środków niezbędnych do wypełnienia takich obowiązków.

Ta sama część 1 art. 18 ust. 1 ustawy federalnej nr 152 zawiera przybliżoną (ale nie wyczerpującą) listę działań, z których organizacja może skorzystać podczas pracy z danymi osobowymi. Klauzula 2 części 1 art. 18.1 ustawy federalnej nr 152 wskazuje, że jednym z możliwych środków jest publikacja dokumentów wewnętrznych, które określą politykę organizacji w zakresie pracy z danymi osobowymi, a także inne przepisy określające specyficzna procedura dotycząca pracy pracowników organizacji z takimi informacjami.

Należy zaznaczyć, że polityka organizacji jest przede wszystkim dokumentem deklaratywnym, który wskazuje jedynie ogólne cechy działań, jakie organizacja podejmie w celu przestrzegania prawa. Podstawa prawna do przetwarzania danych osobowych w organizacji służy przepis dotyczący danych osobowych pracowników.

Analiza art. 18 ust. 1 ustawy federalnej nr 152 pokazuje, że przyjęcie takiego przepisu nie jest obowiązkowy wymóg. Jednocześnie sprawdzając przestrzeganie środków bezpieczeństwa podczas pracy z danymi osobowymi, organizacja, zgodnie z częścią 4 art. 18 ust. 1 ustawy federalnej nr 152, musi przedstawić taki dokument inspektorom lub w inny sposób potwierdzić fakt zgodności z normami ustawy federalnej nr 152. Zatem obecność takiego przepisu można uznać za niepodważalny dowód zgodności z wymogami dotyczącymi pracy z danymi osobowymi, dlatego nadal wskazane jest, aby organizacja go rozwinęła. Ponadto, zgodnie z wymogami części 2 art. 18 ust. 1 ustawy federalnej nr 152, postanowienie to musi być dostępne do publicznego wglądu lub opublikowane na stronie internetowej organizacji.

Nie znasz swoich praw?

Treść rozporządzenia, wzór 2017

Lista kwestii, które należy uregulować w rozporządzeniu, zawarta jest w art. 18 ust. 1 ustawy federalnej nr 152. Z reguły są one ujęte w następującej kolejności:

1. Postanowienia ogólne. Oto następujące:
   • cele i zadania świadczenia;
   • odniesienia do innych aktów prawnych organizacji (rozkazy, instrukcje, regulaminy);
   • sytuacje, w których przepis ten podlega zastosowaniu;
   • osoby odpowiedzialne za wdrożenie;
   • definicje terminów używanych w dokumencie itp.
2. Lista i procedura stosowania środków technicznych, prawnych i innych mających na celu ochronę danych osobowych. Ta sekcja odzwierciedla:
   • kwestie dostępu do nośników danych osobowych,
   • procedura pracy z nimi,
   • wymagania dotyczące sprzętu komputerowego służącego do przetwarzania informacji itp.
3. Procedura informowania (instruowania) pracowników organizacji, którzy będą mogli pracować z danymi osobowymi.
4. Częstotliwość i wykaz czynności realizowanych w ramach wewnętrznej lub zewnętrznej kontroli przestrzegania przepisów.
5. Zakres odpowiedzialności pracownika za naruszenie wymogów regulaminu.
6. Ocena możliwej szkody i lista środków, które mogą ją zminimalizować lub całkowicie wyeliminować prawdopodobieństwo jej wystąpienia.

Przy opracowywaniu regulaminów organizacji należy wziąć pod uwagę także następujące standardy:

• przepisy wprowadzone w życie Dekretem Rządu Federacji Rosyjskiej „W sprawie zatwierdzenia…” z dnia 15 września 2008 r. nr 687 (jeżeli organizacja przetwarza dane ręcznie przy użyciu nośników papierowych lub elektronicznych);
• wymagania dotyczące pracy ze sprzętem automatyki ustanowione dekretem rządu Federacji Rosyjskiej „W sprawie zatwierdzenia…” z dnia 1 listopada 2012 r. nr 1119 (przy użyciu wyposażenie komputera, transmisja danych przez Internet).

Wzór Rozporządzenia o Ochronie Danych Osobowych 2017 znajdziesz na naszej stronie internetowej.

Funkcje pracy z pozycją

Pracując bezpośrednio z przepisami dotyczącymi ochrony danych osobowych pracowników, należy pamiętać, że wykaz osób odpowiedzialnych za tę pracę (lub mających dostęp do danych) zatwierdzany jest odrębnym zarządzeniem. Ponadto, jeśli organizacja korzysta z ujednoliconych papierowych formularzy księgowych (księgi, rejestry, pliki kart itp.), do ich stosowania, zgodnie z paragrafem 7 Regulaminu nr 687, dodatkowo wymagana jest publikacja odpowiednich instrukcji pracy z nimi . Warto pamiętać, że poza przetwarzaniem danych pracowników organizacje często wymagają gromadzenia i przechowywania danych od klientów i innych obywateli, dlatego przepisy można rozszerzyć o pracę z ich danymi osobowymi.

Podsumowując, zauważamy, że opracowanie przepisów jest rodzajem ubezpieczenia podczas przeprowadzania inspekcji organizacji przez Roskomnadzor i inne organy regulacyjne. Ponadto przepis pozwala usprawnić działania pracowników podczas pracy z danymi osobowymi, co zwiększy stopień ochrony, efektywności i dokładności przetwarzania.

Inspektor GIT sprawdzi, czy pracodawca zaakceptował Regulamin pracy z danymi osobowymi. Jak sporządzić dokument, aby jego treść była zgodna z prawem i gotowa próbka dokument, spójrz do artykułu.

W artykule:

Pobierz dokumenty na ten temat:

Przepisy dotyczące danych osobowych pracowników: wzór z 2020 r

W trakcie procesu zatrudnienia, a często nawet wcześniej, na etapie wstępnych ankiet i rozmów kwalifikacyjnych, pracownik przekazuje pracodawcy pewne informacje o charakterze osobistym. Informacje takie mają charakter poufny i nie podlegają udostępnieniu osobom trzecim. Co więcej, nie można żądać wszystkich rodzajów informacji – na przykład pytanie o przynależność religijną lub poglądy polityczne kandydata byłoby nieodpowiednie podczas jakiejkolwiek rozmowy kwalifikacyjnej.

Pracodawca może interesować się jedynie tymi aspektami życia osobistego pracownika, które są bezpośrednio związane z jego pracą i mogą mieć wpływ na jakość jego pracy.

Definicja danych osobowych zawarta jest w ustawie nr 152-FZ z dnia 27 lipca 2006 r. Jest to kluczowa dokument regulacyjny, NA poziom związkowy ustalanie podstawowych norm i zasad postępowania z danymi osobowymi. Zgodnie z art. 3 ustawy nr 152-FZ, osobisty brane są pod uwagę wszelkie dane odnoszące się bezpośrednio lub pośrednio do konkretnego podmiotu (osoby fizycznej). Podmiot może przekazać informacje o sobie operatorowi - państwu lub władza miejska, pracodawca (prawny lub indywidualny).

Regulamin pracy z danymi osobowymi pracowników

Operator nie ma prawa przetwarzać otrzymanych informacji ani udostępniać ich osobom trzecim bez zgody podmiotu. Ochrona danych osobowych zapewnia ustawodawstwo Federacji Rosyjskiej: wspomniana wyżej ustawa federalna nr 152-FZ, odrębne artykuły Kodeksu pracy, karnego i Kodeksy cywilne RF, a także art. 5.39 i 13.11-13.14 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej. Zasady te mają zastosowanie do organizacji wszelkich form własności.

Każda firma gromadząca dane osobowe swoich pracowników ma obowiązek sporządzić i zatwierdzić oświadczenie o ochronie danych osobowych pracowników. Tak nazywa się lokalny akt prawny, który określa procedurę pracy z danymi osobowymi w ramach konkretnego przedsiębiorstwa zgodnie z wymogami art. 87 Kodeks pracy Federacji Rosyjskiej. W sektorze publicznym służba cywilna Trwają prace nad „Regulaminem dotyczącym danych osobowych urzędnika państwowego i prowadzenia jego akt osobowych”, zgodnie z wymogami Dekretu Prezydenta Federacji Rosyjskiej nr 609 z dnia 30 maja 2005 roku.

Aby bezbłędnie wypełnić Regulamin Przetwarzania Danych Osobowych, skorzystaj z usługi internetowej „Systemy Kadrowe”

Skorzystaj teraz

Główne rodzaje danych osobowych

Konwencjonalnie cały wolumen danych osobowych na dany temat można podzielić na pięć typów:

• są pospolite;
• publiczny;
• bezosobowy;
• specjalny;
• biometryczny.

Za informacje ogólne uważa się dane paszportowe danej osoby (nazwisko, imię, nazwisko rodowe, data urodzenia, stan cywilny), adres, numer telefonu, informacje o otrzymanym wykształceniu itp. Obowiązujące przepisy nie zawierają wyczerpującej listy danych ogólnych, ale bardzo szczegółowo wymieniają rodzaje danych specjalnych, dla których ustanowiono specjalne zasady gromadzenia, przetwarzania i przechowywania. Należą do nich informacje o:

• stan zdrowia;
• życie intymne;
• posiadanie przeszłości kryminalnej;
• religia;
• przekonania filozoficzne i polityczne;
• rasa i narodowość.

Dane szczególne do przetwarzania możesz żądać tylko w ściśle określonych przypadkach – w celach medycznych (z zachowaniem tajemnicy lekarskiej) lub w celach ubezpieczeniowych, w celu wymierzania sprawiedliwości, w ramach przeciwdziałania terroryzmowi, w celu ochrony życia lub zdrowia podmiotu . Informacje z rejestru karnego są przetwarzane tylko wtedy, gdy istnieje prawo federalne określające potrzebę takiego przetwarzania. Ponadto nie jest zabronione przetwarzanie informacji szczególnych, jeżeli podmiot sam wyraził na to zgodę lub udostępnił je publicznie.

Kołyska. Kiedy dane osobowe mogą być przetwarzane bez zgody pracownika

Uwaga! Za informację publiczną uważa się informację zamieszczoną przez właściciela w źródłach publicznych - gazetach, czasopismach, książkach adresowych i telefonicznych, portalach społecznościowych.

Biometria to informacja o cechach fizjologicznych lub biologicznych konkretnej osoby: wzroście, budowie ciała, odciskach palców, wzorze tęczówki, wynikach badań genetycznych i innych, które pozwalają ustalić jego tożsamość. Czasami nie można się bez nich obejść. Typowy przypadek stosowania „biometrii” opisano w nocie „Czy pracodawca może pobrać odciski palców od pracowników w celu zorganizowania kontroli dostępu”: wyniki pobrania odcisków palców pozwalają na błyskawiczną identyfikację pracownika, co jest bardzo ważne przy realizacji wydarzeń o ograniczonym dostępie .

Dane biometryczne powinny być przetwarzane i przechowywane zgodnie z Dekretem Rządu Federacji Rosyjskiej nr 512 z dnia 6 lipca 2008 roku. Po osiągnięciu lub utracie celu przetwarzania dane biometryczne, specjalne i ogólne muszą zostać zanonimizowane. Nie da się ustalić, czy zanonimizowane informacje (np. przetworzone wyniki raportów statystycznych i ankiet) należą do konkretnej osoby.

Uwaga! Dane, które z przyczyn obiektywnych nie mogą zostać zanonimizowane, muszą zostać zniszczone.

Tworząc regulacje dotyczące danych osobowych pracowników, nie zapomnij spisać zasad przetwarzania poszczególnych rodzajów informacji, w tym danych biometrycznych, jeśli organizacja je gromadzi i wykorzystuje w swojej pracy.

Jakie funkcje spełnia przepis o ochronie danych osobowych?

Tak czy inaczej, pracodawca uzyskuje dostęp do pewnych informacji z życia prywatnego pracownika. Wypełnienie, zapewnienie różnych świadczeń i odszkodowań, złożenie odliczenia podatkowego – to tylko niewielka lista standardowych procedur, w przypadku których trzeba poprosić pracownika o informacje na temat jego stanu zdrowia, składu rodziny itp. A po dokonaniu przetwarzania niezbędny jest także zapis dotyczący ochrony danych osobowych (przykładowy dokument omówiono poniżej).

Uwaga! Musisz otrzymać dane osobowe pracownika bezpośrednio od niego, a nie od osób trzecich.

Nawet w obrębie tej samej organizacji dane osobowe można przekazywać wyłącznie zgodnie z lokalnymi przepisami, z którymi cały personel musi się najpierw zapoznać i podpisać. Konieczność takiego zapoznania się jest zapisana w klauzuli 8 art. 86 Kodeks pracy Federacji Rosyjskiej.

Przepisy dotyczące danych osobowych pracowników: przykładowa struktura

Sama koncepcja przetwarzania informacji obejmuje różne rodzaje operacje wymienione w klauzuli 3 artykułu 3 ustawy federalnej nr 152-FZ. Po pierwsze, informacje są gromadzone, rejestrowane i systematyzowane. Następnie następuje ich gromadzenie, przechowywanie i wykorzystanie. Dane można udoskonalać, aktualizować lub zmieniać, odzyskiwać i przesyłać. Jeżeli nie ma potrzeby wykorzystywania danych osobowych, są one anonimizowane lub niszczone. Dlatego też przepisy dotyczące pracy z danymi osobowymi pracowników zostały podzielone na sekcje poświęcone różnym etapom przetwarzania informacji:

• Postanowienia ogólne;
• odbiór i systematyzacja;
• składowanie;
• stosowanie;
• audycja;
• gwarancje poufności.

Oczywiście proponowaną strukturę można modyfikować w miarę potrzeb – łącząc istniejące sekcje i dodając nowe, w tym dodatkowe listy i aplikacje. Ale nawet najprostsze standardowy przepis danych osobowych pracownika to dogodny punkt wyjścia, na podstawie którego można opracować pełnoprawny dokument dostosowany do warunków funkcjonowania konkretnego przedsiębiorstwa.

Oświadczenie w sprawie danych osobowych: procedura przetwarzania i przechowywania informacji

Przy opracowywaniu oświadczenia dotyczącego danych osobowych podstawą może być próbka. Na szczególną uwagę zasługują rozdziały poświęcone procedurze gromadzenia, systematyzowania i przechowywania informacji. Im bardziej szczegółowo opisano każdy punkt, tym lepiej i bezpieczniej dla pracodawcy. Jeżeli przeprowadzana jest obowiązkowa ankieta wśród wnioskodawców, należy opisać procedurę możliwie najdokładniej i wymienić konkretne rodzaje wymaganych informacji:

Przechowywanie wszelkich nośników danych osobowych – papierowych, elektronicznych i wszelkich innych – wiąże się z ograniczaniem dostępu do nich. Do tych celów wykorzystywane są oddzielne pomieszczenia, sejfy, zamykane szafki, specjalne teczki i elektroniczne bazy danych chronione hasłem. Tylko ograniczona liczba urzędników może żądać informacji poufnych bez specjalnego zezwolenia.

Wszystkie te niuanse trzeba uwzględnić w przepisach o ochronie danych osobowych pracowników. Przykładowa sekcja wyglądałaby mniej więcej tak:

Każdy pracownik ma prawo wiedzieć dokładnie, w jaki sposób i w jakim zakresie jego dane osobowe są przetwarzane i wykorzystywane, a także poprawić lub wykluczyć nieprawidłowe, niekompletne lub nieprawidłowo przetworzone informacje na jego temat.

Regulamin pracy z danymi osobowymi pracowników: przykładowy projekt sekcji dotyczącej przekazywania informacji

Pracodawca może przekazywać dane osobowe podmiotom trzecim, jednak tylko w określonych okolicznościach – na przykład w celu zapobieżenia zagrożeniu życia i zdrowia pracownika lub w przypadkach przewidzianych prawa federalne. W takim przypadku dane nie stają się publicznie dostępne, lecz przekazywane są w sposób poufny osobie upoważnionej.

We wszystkich innych przypadkach obowiązuje norma zapisana w art. 7 ustawy nr 152-FZ i wymaga za każdym razem, gdy zajdzie taka potrzeba, zwrócenia się do podmiotu. W takim przypadku dane przekazywane są w ograniczonej ilości niezbędnej do wykonania określonej funkcji i nic więcej.

Koniecznie do przepisu o danych osobowych pracowników należy dodać zapis dotyczący zasad przekazywania informacji poufnych. Przykładowy projekt sekcji wygląda następująco:

Pracodawca ma obowiązek prowadzić rejestr ujawnień wszelkich danych osobowych dotyczących pracowników przedsiębiorstwa. W tym celu uruchamiany jest specjalny dziennik (książka) lub dokument elektroniczny. W idealnym przypadku zapisy powinny być powielane i zapisywane zarówno na nośnikach elektronicznych, jak i papierowych.

Jak zatwierdzić rozporządzenie w sprawie danych osobowych pracowników: przykładowe zamówienie

Istnieją dwa sposoby zatwierdzenia przepisu dotyczącego ochrony danych osobowych pracowników: lub po prostu podanie specjalnego pola na dane certyfikacyjne na formularzu dokumentu głównego. Pracodawcy, którzy nie chcą mnożyć ilości dokumentów, preferują zazwyczaj drugą metodę i dodają niezbędne pola w nagłówku dokumentu.

Zatwierdzając dokument, szef organizacji składa na nim swój osobisty podpis i pieczęć. W przypadku wybrania pierwszej, bardziej pracochłonnej metody zatwierdzania, sporządzany jest odpowiedni dokument administracyjny. Wydawana jest w Generalna procedura i w zasadzie nie odbiega od standardu.

Jeżeli pracodawca zastosował wcześniej inną wersję przepisu, z chwilą wejścia w życie Nowa edycja Jako wzór służy zarządzenie zatwierdzające Regulamin pracy z danymi osobowymi lub inną ustawę lokalną.

Zarządzenie w sprawie zatwierdzenia Regulaminu pracy z danymi osobowymi

Uwaga! Jeżeli organizacja posiada dział prawny lub wewnętrznego doradcę prawnego, zaleca się uzgodnienie z nim przepisów dotyczących ochrony danych osobowych pracowników przed przesłaniem dokumentu do ostatecznego zatwierdzenia kierownikowi przedsiębiorstwa.

Informacja o przetwarzaniu danych osobowych

Oprócz szeregu podstawowych środków ochrony danych osobowych personelu, prawo przewiduje inny obowiązek operatora - powiadamianie Roskomnadzor o zbliżającym się przetwarzaniu danych osobowych. Norma ta występuje w ustawodawstwie rosyjskim od 2007 roku. Obecnie stosowany formularz zgłoszeniowy został zatwierdzony w 2008 roku.

Od razu zaznaczmy, że obowiązek zgłoszenia nie dotyczy wszystkich pracodawców. Zgodnie z art. 22 ustawy nr 152-FZ organizacje, które:

• przetwarzać otrzymane informacje zgodnie z przepisami prawa pracy;
• otrzymywać informacje w związku z zawarciem umowy i wykorzystywać je wyłącznie w ramach realizacji umów;
• otrzymywać dane uznawane za publicznie dostępne lub zawierające wyłącznie nazwiska, imiona i patronimiki podmiotów;
• jednorazowo zażądać informacji w celu umożliwienia podmiotowi wjazdu na terytorium operatora;
• mają charakter religijny lub społeczny i przetwarzają informacje w sposób poufny, aby osiągnąć uzasadnione cele.

Aby nie powiadamiać Roskomnadzoru za każdym razem o przetwarzaniu danych, pracodawca, który wykorzystuje informacje o pracownikach wyłącznie w ramach prawa pracy, może ustalić odpowiedni warunek w dokumentach wewnętrznych. Należy podać w regulaminach i innych aktach lokalnych główne kierunki działalności firmy oraz cele, dla których zbiera i przetwarza dane osobowe dotyczące personelu.

Odpowiedzialność za naruszenie zasad przetwarzania danych osobowych

Za naruszenie przepisów dotyczących ochrony danych osobowych winny może zostać pociągnięty nie tylko do odpowiedzialności dyscyplinarnej, ale także do odpowiedzialność administracyjna , a w niektórych przypadkach – odpowiedzialność karną. Miarę odpowiedzialności dobiera się biorąc pod uwagę rodzaj, wagę i okoliczności przestępstwa.

Należy pamiętać, że zarówno nieuprawniony dostęp do informacji elektronicznych chronionych prawem, jak i naruszenie prywatności uznawane są za poważne naruszenia. Dotyczy to także niewłaściwego przechowywania danych osobowych, a także niezamierzonego, popełnionego bez złej woli, ujawnienia informacji poufnych, do których uzyskano dostęp w trakcie wykonywania obowiązków służbowych. Pokrzywdzony może za pośrednictwem sądu żądać naprawienia szkody materialnej i moralnej wyrządzonej niezgodnym z prawem działaniem funkcjonariusza.

Wysokość kar płaconych przez pracodawców za nieprzestrzeganie zasad przetwarzania danych osobowych pracowników stale rośnie i obecnie sięga kilkudziesięciu tysięcy rubli. Zatem jeśli organizacja nie stosuje lub nie posiada przepisu dotyczącego ochrony danych osobowych pracowników, wzór dokumentu sporządzony z uwzględnieniem wszystkich wymogów prawa oczywiście nie będzie zbędny.

Aby móc przetwarzać dane osobowe pracowników bez kary pieniężnej ze strony Państwowej Inspekcji Skarbowej, pracodawca musi sporządzić i zatwierdzić Regulamin przetwarzania danych osobowych pracowników. Przepis ten jest dokumentem obowiązkowym, który musi znajdować się w organizacji. Przygotuj Regulamin w dowolnej formie i zawrzyj w nim wszystkie elementy procedury przetwarzania danych osobowych w Twojej firmie. Zatwierdź gotowy dokument na zlecenie pracodawcy.

Rozporządzenie dotyczące danych osobowych pracowników jest wewnętrznym lokalnym aktem organizacji, którego obecność jest przedmiotem kontroli przeprowadzanych przez Roskomnadzor. Dlatego wiele firm zastanawia się nad tym, jak opracować rozporządzenie o ochronie danych osobowych (2020), jeśli wcześniej takiego dokumentu nie posiadały. W tym artykule podpowiemy, na co należy zwrócić szczególną uwagę przy jego opracowywaniu, aby zapobiec naruszeniom prawa.

Jeśli złamię prawo

Pracodawcy zaczęli masowo otrzymywać pisma od Roskomnadzoru ostrzegające, że podczas kontroli firmy mogą otrzymać poważne kary za naruszenie przepisów ustawy nr 152-FZ z dnia 27 lipca 2006 r. (zwanej dalej ustawą). Zgodnie z nią pracodawca ma obowiązek zapewnić ochronę tych informacji przed bezprawnym dostępem i wykorzystaniem przez osoby trzecie. Rozwiązaniem tych problemów jest rozporządzenie o przetwarzaniu danych osobowych pracowników.

W dniu 23 lutego 2020 r. weszło w życie Rozporządzenie Rządu nr 146 z dnia 13 lutego 2019 r., które zatwierdziło Regulamin organizacji i realizacji kontroli państwowej i nadzoru nad przetwarzaniem danych osobowych. Zgodnie z dokumentem planowe kontrole będą przeprowadzane co 2-3 lata, a listę spółek podlegających kontroli można wcześniej zobaczyć na stronie internetowej Roskomnadzoru. Podobnie jak w przypadku innych rodzajów kontroli, inspektorzy będą musieli uprzedzić o planowanej wizycie. Jeżeli kontrola jest planowana, należy o niej powiadomić z 3-dniowym wyprzedzeniem, a w przypadku niezaplanowanej - z 24-godzinnym wyprzedzeniem.

Za naruszenie Prawa przewidziana jest odpowiedzialność dyscyplinarna, materialna, administracyjna i karna. Organy nadzorcze mogą pociągnąć odpowiedzialność administracyjną na podstawie art. 13.11 i 13.14 Kodeksu wykroczeń administracyjnych, kary wynoszą:

• dla urzędników: od 500 do 1000 rubli;
• dla organizacji: od 5000 do 10 000 rubli;
• dla urzędników, w związku z wykonywaniem obowiązków służbowych lub obowiązki zawodowe: od 4000 do 5000 rubli.

Do najczęstszych naruszeń, zdaniem inspektorów, zalicza się przetwarzanie danych osobowych bez zgody ich właściciela lub z naruszeniami, niedopełnienie obowiązku zniszczenia danych osobowych oraz naruszenie warunków przechowywania takich informacji.

Co to są dane osobowe

Są to wszelkie informacje niezbędne do ustalenia przez pracodawcę stosunki pracy, który dotyczy pracownika. Na przykład nazwisko, imię, patronimika, data i miejsce urodzenia, miejsce zamieszkania itp.

Przykładowe dokumenty zawierające dane osobowe to:

• karta pracownika zawierająca imię i nazwisko osoby, informacje o składzie rodziny, wykształceniu;
• karta pracy zawierająca doświadczenie zawodowe z poprzednich miejsc pracy;
• dyplomy, świadectwa wykształcenia;
• umowa o pracę.

Zabrania się otrzymywania i przetwarzania danych niezwiązanych bezpośrednio z aktywność zawodowa. Na przykład informacje o religii, narodowości i przynależności politycznej. Ta informacja uzyskiwane wyłącznie od samych pracowników. Warunki te muszą zostać ujęte w przepisach dotyczących przetwarzania i ochrony danych osobowych. Pracodawcy mają obowiązek powiadomić pracownika i uzyskać jego pisemną zgodę na przetwarzanie, przechowywanie, wykorzystywanie i rozpowszechnianie jego danych.

Przechowuj dane prawidłowo

Dane osobowe pracowników zawarte są w ich kartach osobowych i aktach osobowych. Prawo nakłada na każde przedsiębiorstwo obowiązek opracowania zasad wykorzystania i przechowywania danych o jego pracownikach.

Przepis dotyczący ochrony danych osobowych może stanowić odrębny dokument lub rozdział zawarty w aktualnie obowiązującym Wewnętrznym Regulaminie Pracy.

Aby zachować poufność informacji o osobach pracujących w organizacji, tworzona jest lista urzędników, którzy mają do nich dostęp. W zarządzeniu wyznaczana jest osoba odpowiedzialna za gromadzenie, przechowywanie i przetwarzanie danych poufnych. Pracownicy, menadżerowie, Dyrektor generalny przedsiębiorstwa podpisują umowę o zachowaniu poufności.

Informacje o danych osobowych pracowników przedsiębiorstwa mogą być przechowywane zarówno w formie papierowej, jak i elektronicznej w formacie elektronicznym. Obecnie takie informacje są najczęściej przechowywane w sposób mieszany.

Przykładowe regulacje dotyczące danych osobowych pracowników (2020) i ich rozwoju

Na pierwszym etapie rozwoju konieczne jest określenie, jakie dane są wykorzystywane w firmie, w jaki sposób są odbierane, przechowywane i przetwarzane.

Do przygotowania dokumentów organizacyjnych użyj Główne zasady: w tytule wskazana jest nazwa organizacji, data i numer dokumentu, a pieczęć zatwierdzająca umieszczona jest w prawym górnym rogu.

Przepis zawiera następujące informacje:

• cele i zadania przedsiębiorstwa podczas pracy z poufnymi danymi;
• wykazy takich danych;
• opis operacji na danych, które są często wykorzystywane w przedsiębiorstwie;
• sposoby dostępu do danych;
• listy i obowiązki personelu firmy podczas korzystania z informacji;
• prawa pracowników firmy do dostępu do informacji;
• odpowiedzialność pracowników przedsiębiorstwa za ujawnienie informacji.

Regulamin zatwierdzany jest zarządzeniem kierownika spółki. Wzór rozporządzenia w sprawie przetwarzania danych osobowych pracowników powinien być dostępny do wglądu dla wszystkich pracowników. Powinni złożyć swój podpis na arkuszu lub dzienniku pokładowym, który z reguły prowadzi dział personalny pracodawcy. Magazyn jest listą pracowników firmy, na której każdy się podpisuje po zapoznaniu się z lokalną ustawą.

POZYCJA

O DANYCH OSOBOWYCH PRACOWNIKA

I. Postanowienia ogólne

Dane osobowe pracownika to informacje niezbędne pracodawcy w związku ze stosunkiem pracy i dotyczące konkretnego pracownika.

Dane osobowe pracownika zawarte są w głównym osobistym dokumencie księgowym pracowników – aktach osobowych pracownika.

Akta osobowe pracownika składają się z następujących działów:

1) materiały biograficzne i charakteryzujące, do których należą:

Aplikacja o pracę (opcjonalnie),

Karta rejestracyjna personelu,

Kopia paszportu),

Dowód wojskowy, dowód rejestracyjny (kopia),

Dokumenty edukacyjne (kopia),

Zaświadczenie o rejestracji w organie podatkowym (NIP) (kopia),

Zaświadczenie o emeryturze (dla emerytów) (kopia),

Akt urodzenia dziecka (kopia),

Akt małżeństwa (kopia),

Dokument dotyczący prawa do świadczeń (kopia),

wyniki badanie lekarskie o zdolność do wykonywania obowiązków pracowniczych (dla kategorii pracowników do 18 roku życia; przystępujących do pracy w szkodliwych i (lub) niebezpiecznych warunkach pracy, przy pracy ciężkiej; przystępujących do pracy bezpośrednio związanej z przemieszczaniem się Pojazd; wniosek pracownika o zatrudnienie),

Umowa o pracę,

Dokumenty związane z przeniesieniem i relokacją pracownika (oświadczenia pracownicze itp.),

Arkusze atestów,

Rezygnacja pracownika,

Kopia postanowienia o zwolnieniu,

Formularz karty osobistej N T-2,

Inne dokumenty, których obecność w aktach osobowych będzie uznana za stosowną;

2) materiały dodatkowe, do których zalicza się:

Poświadczenie pracownika o zapoznaniu się z dokumentami organizacji ustalającymi tryb przetwarzania danych osobowych pracowników oraz jego prawa i obowiązki w tym zakresie,

Zdjęcia,

Dodatek do akt osobowych,

Inne dokumenty, których obecność w aktach osobowych będzie uznana za stosowną.

W aktach osobowych pracownika znajduje się także spis wszystkich dokumentów znajdujących się w aktach.

II. Pozyskiwanie danych osobowych pracowników

Otrzymanie, przechowywanie, łączenie, przekazywanie lub jakiekolwiek inne wykorzystanie danych osobowych pracownika może odbywać się wyłącznie w celu zapewnienia zgodności z przepisami prawa i innymi regulacjami, pomocy pracownikom w zatrudnieniu, szkoleniu i awansie, zapewnienia bezpieczeństwa osobistego pracowników, monitorowania ilość i jakość wykonywanych prac oraz zapewnienie bezpieczeństwa mienia.

Wszelkie dane osobowe pracownika są pozyskiwane od niego. Jeżeli dane osobowe pracownika można pozyskać jedynie od osoby trzeciej, należy o tym wcześniej poinformować pracownika i uzyskać od niego pisemną zgodę. Pracodawca ma obowiązek poinformować pracownika o celach, planowanych źródłach i sposobach pozyskiwania danych osobowych, a także o charakterze danych osobowych, które mają zostać pozyskane oraz o konsekwencjach odmowy wyrażenia przez pracownika pisemnej zgody na ich otrzymanie.

Niedopuszczalne jest otrzymywanie i przetwarzanie danych osobowych pracownika dotyczących jego przekonań politycznych, religijnych i innych oraz życia prywatnego, a także jego przynależności do organizacji stowarzyszenia publiczne lub jego działalność związkową, z wyjątkiem przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej.

Przy podejmowaniu decyzji dotyczących pracownika na podstawie jego danych osobowych niedopuszczalne jest wykorzystywanie danych uzyskanych wyłącznie w wyniku ich zautomatyzowanego przetwarzania lub otrzymania w formie elektronicznej.

W sprawach bezpośrednio związanych ze stosunkami pracy, zgodnie z art. 24 Konstytucji Federacji Rosyjskiej pozyskiwanie i przetwarzanie danych dotyczących życia prywatnego pracownika możliwe jest wyłącznie za jego pisemną zgodą.

III. Tworzenie i prowadzenie akt osobowych

Akta osobowe pracownika powstają po wydaniu postanowienia o zatrudnieniu.

Początkowo dokumenty zawierające dane osobowe pracownika grupowane są w aktach osobowych w kolejności odpowiadającej procesowi rekrutacji: świadectwo pracownicze; wniosek pracownika o zatrudnienie; karta akt osobowych; wynik badania lekarskiego stwierdzającego przydatność do pracy; poświadczenie od pracownika o zapoznaniu się z dokumentami organizacji ustalającymi procedurę przetwarzania danych osobowych pracowników, a także o jego prawach i obowiązkach w tym zakresie; potwierdzenie pracownika potwierdzające zapoznanie się z lokalem przepisy prawne organizacje; dodatek do akt osobowych; inwentarz wewnętrzny.

Wszystkie dokumenty osobiste przechowywane są w okładce.

Do każdej teczki osobowej dołączona jest fotografia pracownika (bez nakrycia głowy, o wymiarach 3 x 4 cm). Na odwrotnej stronie fotografii widnieje nazwisko, imię i patronimik pracownika.

W każdym dziale akt osobowych prowadzony jest inwentarz wewnętrzny, w którym wpisuje się nazwy wszystkich dokumentów, datę ich włączenia do akt, liczbę kartek, a także datę wycofania dokumentu z akt , wskazując osobę, która odebrała dokument i powód cofnięcia. W przypadku czasowego wycofania dokumentu w jego miejsce wstawia się arkusz zastępczy. Usunięcie dokumentów z akt osobowych następuje wyłącznie za zgodą specjalisty ds. kadr. Inwentarz wewnętrzny podpisuje osoba, która go sporządziła, podając datę sporządzenia.

Wszystkie dokumenty otrzymane w aktach osobowych ułożone są w porządku chronologicznym.

Niedopuszczalne jest umieszczanie w aktach osobowych dokumentów o drugorzędnym znaczeniu, które mają tymczasowy (do 10 lat) okres przechowywania, np. zaświadczenia o rezydencji itp.

Arkusze dokumentów składanych w aktach osobowych są numerowane.

Arkusz akt osobowych jest głównym dokumentem akt osobowych, będącym spisem pytań dotyczących danych biograficznych pracownika, jego wykształcenia, stanu cywilnego, miejsca zameldowania lub zamieszkania, pracy wykonywanej od początku kariery zawodowej itp. Karta rejestracyjna personelu jest wypełniana przez pracownika samodzielnie podczas ubiegania się o pracę.

Wypełniając kartę pracowniczą, pracownik ma obowiązek wypełnić wszystkie jej rubryki, udzielić wyczerpujących odpowiedzi na wszystkie pytania i unikać dokonywania sprostowań, przekreśleń, myślników i plam, zachowując ścisłą zgodność z zapisami zawartymi w jego dokumentach osobowych. Odpowiedzi negatywne w kolumnach karty akt osobowych zapisuje się bez powtarzania pytania.

Wypełniając kolumnę „Wykształcenie” należy zastosować sformułowania: „wyższe”, „niepełne wyższe”, „średnie specjalistyczne”, „średnie niepełne” – w zależności od tego, jakim dokumentem dysponuje pracownik.

W kolumnie „Stan cywilny” wyszczególniono wszystkich bliskich krewnych (mąż, żona, córka, syn) mieszkających z pracownikiem. Wskazane jest nazwisko, imię, patronimika i data urodzenia każdego członka rodziny.

W kolumnie „Praca wykonywana od początku zatrudnienia” prezentowane są informacje o pracy w ścisłej zgodności z wpisami w zeszycie pracy.

Wszystkie wpisy dokonywane są w porządku chronologicznym.

Podczas wypełniania arkusza rejestracji personelu wykorzystywane są następujące dokumenty:

Paszport;

Historia zatrudnienia;

Dowód wojskowy;

Dokumenty edukacyjne;

Dokumenty przydziału Stopień naukowy, tytuł akademicki.

Arkusz kadrowy podpisywany jest przez osobę zatrudnianą oraz specjalistę ds. HR po sprawdzeniu danych zawartych we wniosku z odpowiednimi dokumentami i potwierdzany pieczęcią działu kadr.

Kopie wszystkich dokumentów są poświadczane własnoręcznym podpisem specjalisty ds. kadr po sprawdzeniu ich z oryginałami dokumentów.

Dodatkiem do akt osobowych jest dokument, w którym zapisywane są informacje o przesunięciu pracownika w pracy (data wejścia na stanowisko i data odejścia z niego) ze wskazaniem przyczyny przemieszczenia („Powołany z degradacją w postępowaniu certyfikacyjnym”).

Dodatek do akt osobowych sporządza specjalista ds. kadr i nie wymaga poświadczenia podpisem ani pieczęcią.

Karta osobista Formularza N T-2 sporządzana jest przez specjalistę ds. kadr przy użyciu ujednoliconego formularza i zawiera informacje o danych osobowych pracownika w pełnej zgodności ze złożonymi dokumentami. W przypadku aktualizacji starą kartę osobową usuwa się z działu akt osobowych „Kwestionariusz-materiały biograficzne i charakteryzujące” i dołącza do „Kwestionariusza – materiały biograficzne i charakteryzujące”. Dodatkowe materiały" i zostaje zastąpiona nową. Karta imienna jest podpisana przez specjalistę ds. kadr.

W przyszłości akta osobowe uzupełniane są o dokumenty powstałe w toku aktywności zawodowej pracownika, do których zaliczają się:

Arkusze atestów;

Kopie dokumentów potwierdzających zatwierdzenie stanowiska;

Inne materiały charakterystyczne i uzupełniające wymienione w dziale I niniejszego Regulaminu.

Akta osobowe prowadzone są przez cały okres kariery zawodowej pracownika. Zmiany dokonane w aktach osobowych muszą zostać potwierdzone odpowiednimi dokumentami.

Specjalista HR otrzymuje dokumenty od zatrudnianego pracownika, sprawdza ich kompletność i prawidłowość podanych informacji zgodnie z przedstawionymi dokumentami.

IV. Prawa i obowiązki pracownika w zakresie ochrony

jego dane osobowe

Pracownik zobowiązuje się do podania danych osobowych zgodnych ze stanem faktycznym.

Pracownik ma prawo:

Aby uzyskać pełną informację o Twoich danych osobowych i przetwarzaniu tych danych;

Bezpłatny, bezpłatny dostęp do Twoich danych osobowych, w tym prawo do otrzymania kopii wszelkich akt zawierających dane osobowe pracownika, z wyjątkiem przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej;

Aby wyznaczyć swoich przedstawicieli w celu ochrony ich danych osobowych;

Dostęp do informacji zdrowotnych na jej temat za pośrednictwem wybranego przez siebie pracownika służby zdrowia;

Żądania usunięcia lub poprawienia nieprawidłowych lub niekompletnych danych osobowych, a także danych przetwarzanych z naruszeniem wymagań. Jeżeli pracodawca odmówi wyłączenia lub sprostowania danych osobowych pracownika, ma on prawo zgłosić pracodawcy na piśmie swój sprzeciw wraz z odpowiednim uzasadnieniem takiego sprzeciwu. Pracownik ma prawo do uzupełnienia danych osobowych o charakterze wartościującym oświadczeniem wyrażającym jego własny punkt widzenia;

Do wymogu informowania przez pracodawcę wszystkich osób, które zostały wcześniej poinformowane o błędnych lub niekompletnych danych osobowych pracownika, o wszelkich dokonanych w nich wyjątkach, sprostowaniach lub uzupełnieniach;

Zaskarżenia do sądu wszelkich niezgodnych z prawem działań lub bezczynności pracodawcy w zakresie przetwarzania i ochrony jego danych osobowych.

V. Księgowość, przechowywanie i przekazywanie danych osobowych pracowników

Akta osobowe, w których przechowywane są dane osobowe pracowników, są dokumentami „Do użytku wewnętrznego”.

Rejestruje się akta osobowe i dokonuje wpisu w dzienniku akt osobowych. Dziennik zawiera następujące kolumny:

Numer porządkowy akt osobowych;

Nazwisko, imię, patronimika pracownika;

Data rejestracji sprawy;

Data wyrejestrowania sprawy.

W obsługa personelu(dział) przechowuje akta osobowe aktualnie zatrudnionych pracowników. W tym celu wykorzystuje się specjalnie wyposażone szafy lub sejfy, które są zamykane na klucz i plombowane. Akta osobowe układane są w kolejności według ich numeracji lub w porządku alfabetycznym.

Po zwolnieniu pracownika odpowiednie dokumenty wpisuje się do akt osobowych (wniosek o wypowiedzenie umowa o pracę, odpis postanowienia o rozwiązaniu umowy o pracę), sporządza się ostateczny inwentarz, sporządza się akta osobowe i przekazuje je do przechowania.

Akta osobowe pracowników zwolnionych z organizacji przechowywane są w archiwum organizacji w kolejności alfabetycznej.

Niedozwolony:

Przekazywać dane osobowe pracownika osobie trzeciej bez pisemnej zgody pracownika, z wyjątkiem przypadków, gdy jest to konieczne w celu zapobieżenia zagrożeniu życia i zdrowia pracownika, a także przypadków przewidzianych przez ustawodawstwo Federacji Rosyjskiej ;

Przekazywania danych osobowych pracownika w celach komercyjnych bez jego pisemnej zgody;

Żądać informacji o stanie zdrowia pracownika, z wyjątkiem informacji, które dotyczą kwestii zdolności pracownika do pełnienia funkcji zawodowej.

Dostęp do danych osobowych pracowników mają jedynie specjalnie upoważnione osoby, przy czym osoby te powinny mieć prawo otrzymać jedynie te dane osobowe pracownika, które są niezbędne do wykonywania określonych funkcji.

Przekazując dane osobowe pracownika podmiotom trzecim należy pouczyć go, że dane te mogą być wykorzystane wyłącznie w celu, w jakim zostały przekazane, oraz zażądać od tych osób potwierdzenia, że ​​zasada ta została spełniona. Osoby otrzymujące dane osobowe pracownika zobowiązane są do zachowania tajemnicy (poufność). Wyjątkiem jest wymiana danych osobowych pracowników w sposób określony przez ustawodawstwo Federacji Rosyjskiej.

Przekazywanie danych osobowych pracownika w ramach jednej organizacji odbywa się zgodnie z lokalnymi przepisami tej organizacji.

Przekazywanie danych osobowych pracownika jego przedstawicielom odbywa się w sposób ustalony przez organizację. Ilość przekazywanych informacji ogranicza się wyłącznie do tych danych osobowych pracownika, które są niezbędne określonym przedstawicielom do wykonywania swoich funkcji.

Jako wszelkie informacje bezpośrednio lub pośrednio związane z podmiotem lub umożliwiające jego identyfikację (klauzula 1 artykułu 3). Jednocześnie akt prawny nie zawiera wyjaśnienia, o jakich informacjach indywidualny obejmuje tę koncepcję. W kontekście stosunków pracy są to zazwyczaj:

• Data urodzenia;
• szczegóły paszportu;
• adres rejestracyjny i zamieszkania;
• numer SNILS;
• informacje o wykształceniu i doświadczeniu zawodowym.

To tylko minimalna lista informacji o Tobie, które dana osoba podaje podczas ubiegania się o pracę. W procesie współpracy dodawane są do niej: warunki umowy o pracę i umów dodatkowych, informacje o rejestracji wojskowej, świadczeniach socjalnych, informacje o sankcje dyscyplinarne i zachęty, raporty dla organów statystycznych i inne. Zbiór otrzymanych informacji stanowi akta osobowe pracownika.

Po co Ci rozporządzenie dotyczące pracy z danymi osobowymi?

Zatrudniając osobę firma przejmuje funkcje operatora przetwarzania danych. Innymi słowy, pracodawca gromadzi, przechowuje, systematyzuje, gromadzi i aktualizuje informacje dotyczące pracowników. Praca z danymi osobowymi odbywa się zarówno z wykorzystaniem narzędzi automatyzacji, jak i bez ich użycia. Przetwarzanie informacji poufnych odbywa się nie tylko w okresie współpracy, ale także po jej zakończeniu, na etapie archiwizacji. Sztuka. 22.1 zobowiązuje organizacje do przechowywania akt osobowych pracowników przez 75 lat. Na każdym etapie przetwarzania danych osobowych pracodawca ma obowiązek zapobiec ich przekazywaniu osobom trzecim w przypadku braku podstawy prawnej. Zestaw odpowiednich środków musi być udokumentowany w formie rozporządzenia w sprawie pracy z danymi osobowymi pracowników.

Struktura Regulaminu Danych Osobowych

Przy opracowywaniu Rozporządzenia o Ochronie Danych Osobowych 2020 zaleca się stosować następującą strukturę:

№	Rozdział	Treść
1	Podstawowe postanowienia	Cele dokumentu, przepisy prawa, procedura zatwierdzania
2	Podstawowe koncepcje	Definicje pojęć używanych w dokumencie
3	Skład danych osobowych pracowników	Lista danych osobowych
4	Przetwarzanie danych	Warunki przetwarzania informacji
5	Zestaw dokumentów	Lista dokumentów zawierających dane osobowe
6	Dostęp do danych osobowych	Procedura zewnętrznego i wewnętrznego dostępu do informacji
7	Ochrona danych osobowych	Zestaw środków zapewniających bezpieczeństwo informacji poufnych
8	Prawa i obowiązki pracownika	Prawa pracowników w zakresie przetwarzania danych, obowiązek niezwłocznego powiadamiania o ich zmianach
9	Odpowiedzialność za ujawnienie informacji	Wyjaśnienie odpowiedzialności za naruszenie bezpieczeństwa informacji zgodnie z przepisami prawa

Jak wdrożyć rozporządzenie o przetwarzaniu i ochronie danych osobowych 2020

Na etapie opracowywania dokumentu należy uzgodnić jego treść z kierownikami działów zajmujących się przetwarzaniem danych i obsługą prawną. Gotowy lokalny akt prawny zostaje zatwierdzony. Zarządzenie wydawane jest również w przypadku wprowadzenia zmian w tekście dokumentu. Jeżeli z jakichś powodów w przedsiębiorstwie nie ma przepisów dotyczących ochrony danych osobowych, należy je niezwłocznie sporządzić i udostępnić wszystkim pracownikom treść tego przepisu. Zatrudnieni pracownicy mają obowiązek zapoznać się z klauzulą ​​przed podpisaniem umowy o pracę. Potwierdzenie zapoznania się z tekstem wydawane jest według uznania pracodawcy. Najwygodniejszym sposobem jest prowadzenie dziennika zapoznania się z lokalnymi przepisami. W razie potrzeby pracownik może żądać tekstu dokumentu dowolną ilość razy. Dla uproszczenia tej procedury zaleca się zamieszczenie przykładowego regulaminu przetwarzania danych osobowych pracownika w korporacyjnych zasobach dostępu elektronicznego.