Положение о хранении и использовании персональных данных работников является нормативным локальным актом, регламентирующим операции с персональными данными сотрудников конкретной организации.
Что такое персональные данные
При заключении трудового договора кандидат на должность предоставляет кадровому работнику организации – будущего работодателя набор данных: фамилию, имя, отчество, паспортные данные, сведения об образовании, стаже и т.п.
Для обработки некоторых категорий личных данных работника требуется получение письменно данного согласия работника.
Все операции с персональными данными работников должны проводиться в строгом соответствии с законом. Для этих целей в организации разрабатывается локальный нормативный акт, называемый Положение о хранении и использовании персональных данных работников. Этим положением регламентируется обращение с данными, определенными законом от 27.07.2006 № 152-ФЗ «О персональных данных» и положениями трудового законодательства. В качестве персональных определены:
- ФИО, паспортные данные.
- Данные об образовании, наличии водительской лицензии, данные, указанные в трудовых книжках, страховых полисах.
- Сведения об имущественном, социальном положении гражданина.
- Данные о состоянии здоровья, наличии психических, физических особенностей и т.п.
Организация или лицо, которому работник предоставляет персональную информацию для различных целей, называется оператором персональных данных.
Наиболее распространенными операциями, осуществляемыми с персональными данными, являются:
- хранение;
- обработка (например, в статистических целях);
- передача третьей стороне;
- уничтожение.
Все эти операции должны быть отражены в Положении о хранении и использовании персональных данных. Кроме того, в Положение в обязательном порядке включаются формы:
- согласия работника (кандидата) на работу с его персональными данными;
- отказа работника (кандидата) от предоставления данных;
- отзыва ранее данного работников (кандидатом) согласия на обработку данных.
Структура документа
Законодательно четкой структуры для Положения о хранении персональных данных работников не определено. При разработке положения рекомендуется в первую очередь опираться на федеральное законодательство, а также на общие принципы оформления локальных нормативных актов организации. Рассмотренная ниже структура является типовой и может быть применена в качестве шаблона.
Положение о хранении и использовании персональных данных, как правило, включает в себя следующую информацию:
- основные положения;
- список относящихся к персональным данных;
- обязанности работодателя при обработке данных;
- обязанности сотрудника;
- права сотрудника;
- регламент работы с персональными данными;
- защита данных;
- ответственность;
- итоговый раздел.
По необходимости разделы могут быть объединены или дополнены.
Общие положения
В данном разделе документа определяются цель составления документа, указывается законодательная база, порядок утверждения Положения и внесения в него изменений. Также в данном разделе могут быть перечислены основные понятия, используемые для работы с персональными данными (в том числе и понятие о самих персональных данных).
Перечень персональных данных
В данном разделе должен быть дан исчерпывающий список данных, которые являются персональными, с обязательным определением тех данных, которыми оперирует настоящий работодатель. Например, «работодатель вправе использовать из вышеприведенного списка данные, определяющие работника в качестве стороны трудового договора».
Обязанности работодателя при работе с персональными данными
В данном разделе указывается перечень сотрудников, которые имеют доступ к персональным данным и занимаются их обработкой (как в самой организации, так и внешние операторы), их обязанности, правила хранения персональных данных (на бумажных носителях, в электронном виде и т.п.).
Кроме того, в этом же разделе может быть определен порядок предоставления информации о работнике третьим лицам.
Обязанности работника
Этот раздел посвящается обязанностям работников при предоставлении персональных данных, в частности, обязанность уведомлять работодателя в установленный срок об изменении данных.
Права работника
В данном разделе определяются права работника на доступ к своим персональным данным, право отозвать ранее данное согласие и вообще отказаться от предоставления данных.
Порядок работы с персональными данными
Этот раздел является в Положении основным. В нем должны содержаться описания всех без исключения операций, которые проводятся в организации в отношении персональных данных работника, начиная от сбора и хранения, заканчивая уничтожением данных. Каждая операция должна быть расписана пошагово.
Защита данных
В разделе описываются техники и способы, которыми организация защищает персональные данные работников, оговаривается запрет на передачу информации о работнике без его прямого согласия (кроме случаев, оговоренных в ФЗ о персональных данных).
Ответственность за разглашение
В данном разделе указывается ответственность за несанкционированное разглашение или передачу персональных данных.
Разработка и утверждение
В общем порядок разработки и утверждения данного документа не отличается от порядка разработки и утверждения иных локальных актов. Положение в обязательном порядке согласовывается с профсоюзным органом.
Положение вводится в действие приказом по организации. Дата начала действия документа может быть оговорена отдельно. В противном случае положение начинает действовать с момента регистрации приказа. На титульном листе или в «шапке» Положения проставляется отметка «Утверждено приказом от… №…».
Работники организации должны быть ознакомлены с документом в установленном порядке (в журнале или на листе ознакомления и т.п.) под подпись.
Хранится документ вместе с другими нормативными локальными актами организации постоянно.