Как составить положение о персональных данных
Алгоритм действий с информацией о сотрудниках содержится в особом документе — Положении о персональных данных (Положения о ПД). При его составлении важно учесть все последние обновления в законах, касающихся хранения сведений личного характера. Рассмотрим, как правильно составить такой ЛНА, что в него добавить с учетом последних изменений по персональным данным.
|
Содержание
Зачем нужно положение о работе с ПД Как разработать положение о защите персональных данных Примерное содержание Положения о ПД |
|
Бланк приказа об утверждении положения об обработке персданных Образец положения о хранении персданных |
Зачем нужно положение о работе с ПД
Положение о персональных данных — это внутренний акт компании (ЛНА).
Его нужно создать по ряду причин:
-
В любой компании хранится много личной информации о бывших и текущих сотрудниках — эти сведения необходимо беречь от утечки и незаконного использования. В Положении о персональных данных прописаны конкретные способы, как организация защищает персональные данные.
-
Порядок хранения и всех остальных действий с ПД, указанный в документе, помогает систематизировать работу с личной информацией не допускать ошибок.
-
Обязанность издать локальный документ с порядком обработки сведений о работниках закреплена законодательно (п.8 ст. 86 ТК РФ, пункт 2 части 1 статьи 18.1 Закона 152-ФЗ).
-
При проверке корректной работы с ПД Роскомнадзор в первую очередь запросит этот документ.
Скачайте документы по теме «Персональные данные» в том числе и Положение об обработке персональных данных в Базе образцов в экосистеме «Кадровый обзор». Если вы не являетесь подписчиком экосистемы, оформите пробный доступ.
Как разработать положение о защите персональных данных
Положение о работе с персональными данными еще можно назвать положением об их защите. В первую очередь при составлении такого Положения нужно опираться на Федеральный закон от 27.07.2006 №152-ФЗ. В документе раскрыты категории ПД, особенности работы с каждой категорий, права и обязанности субъекта и оператора, а также меры для обеспечения безопасности информации.
Форма документа — свободная, но при этом нужно обязательно учесть все нюансы содержания, с учетом того, что Положение о персональных данных должно подробно регулировать деятельность компании в сфере личной информации.
Важно адаптировать типовое содержание документа под особенности работы конкретной компании. Например, учитывайте, есть ли у вас особые категории для обработки, есть ли трансграничная передача ПД, какие программы используют программисты для защиты от утечек (например, антивирусы).
Как соблюсти требования закона при работе с ПД — рассказали в нашей статье
|
Важно! Для государственных гражданских служащих форма Положения утверждена Указом Президента РФ от 30.05.2005 № 609 |
Примерное содержание Положения о ПД
Стандартная структура Положения о персональных данных содержит восемь разделов. Чем подробнее будут раскрыты положения разделов, тем лучше.
Как, правило, в документ включают следующие разделы:
- Общие положения. Сюда можно включить основные термины по ПД, цели положения, что регулирует. Добавьте также дату вступления документа в силу.
- Категории субъектов персданных. При выявлении категорий опирайтесь на закон 152-ФЗ. Кроме самих сотрудников это могут быть их родственники, соискатели или уволенные работники. Обратите внимание, разные категории субъектов имеют разные цели обработки их персданных. Поэтому к каждой укажите соответствующую цель.
- Перечень персональных данных и цели обработки. Помимо видов сведений для обработки (ФИО, ИНН, телефон и т.д.) укажите цели по каждой категории данных. В зависимости от категории информации ей присваивают критерий риска: насколько безопасно хранится этот документ или носитель.
- Получение и обработка. Пропишите в том числе, в какой форме будут согласия на обработку ПД, приведите образец документа. Укажите, что вы будете делать с информацией после ее получения (в каком виде обрабатывается, систематизируется, кто ответственный).
- Хранение, использование. Укажите сроки хранения и носители, а также пределы использования личных сведений. После окончания срока использования ПД уничтожают.
- Передача ПД. Здесь можно указать, кому вы можете передавать персданные (например, банк, госорганы). Добавьте порядок такой передачи.
- Меры защиты ПД. В первую очередь потребуется составить список должностей, которые имеют доступ к данным. Укажите, в каких пределах предоставляется доступ. Обязательно нужно указать, какое ПО используется при хранении электронных форм, как ограничен доступ к документации в письменном формате. Уровни защиты должны соответствовать типам угроз, которые могут возникнуть при утечке той или иной категории ПД.
- Гарантии конфиденциальности. Сотрудник должен знать, что компания обязуется хранить его информацию в тайне. Пропишите право работников на получение по запросу сведений о том, что делают с его ПД. Также они могут отозвать или скорректировать неверные данные. Здесь же указывают права подчиненных в случаях нарушения при работе с персданными.
Можно добавить и другие разделы, например, про ответственность компании за утечку информации, добавить приложения или перечни.
Утверждение Положения о ПД и ознакомление сотрудников
После составления положения о работе с персональными данными руководитель его утверждает. Предварительно рекомендуем пригласить юристов для проверки документа. Форма утверждения Положения о ПД — приказ.
Его составляют в свободной форме, но с обязательными элементами в содержании:
-
Наименование фирмы, все реквизиты, место составления.
-
Номер, дата приказа, название документа («Об утверждении…»).
-
Основание — документ или нормы закона.
-
В основном тексте — информация, что ЛНА вводится в действии с такого-то числа (сам документ будет прикреплен к приказу как приложение).
-
Указаны должности и ФИО ответственных за исполнение. Эти лица расписываются об ознакомлении с приказом в специальной графе.
После утверждения положения о ПД с ним знакомят всех сотрудников, которые имеют отношение к работе с персональными сведениями. Для этого можно выпустить отдельный лист ознакомления или дать ответственным расписаться в журнале ознакомления с ЛНА.
Какие изменения по персональным данным нужно учесть в работе и какие риски устранить, вы узнаете на курсе: «Персональные данные работников: правила работы для кадровых служб».
|
Обратите внимание! Документ подписывает директор компании. На бланке самого Положения о ПД также можно предусмотреть графу «утверждаю», в которую руководитель проставит подпись и дату. Если в компании есть профсоюз, потребуется его письменное мнение по ЛНА (ст. 372 ТК РФ). |
Когда внести изменения в положение о персональных данных
О том, когда требуется вносить изменения в ЛНА, указывают в первом разделе Положения о работе с персональными данными. Внутренние акты компании, согласно Перечню Росархива хранят постоянно или до замены новым ЛНА (п. 440 Приказа Росархива приказом Росархива от 20 декабря 2019 года № 236).
В случае с Положением о ПД вносят изменения в документ, если обновился закон или появился новый документ от госорганов. Сама процедура аналогична мероприятиям по внесению изменений в любые ЛНА компании.
Алгоритм внесения изменений в Положение о персональных данных:
-
Проверьте документ и внесите в него корректировки в соответствии с новыми законами.
-
Проверьте, остаются ли актуальными согласия на обработку или распространение ПД.
-
Утвердите приказом обновленный документ и ознакомьте с ним сотрудников.
Можно не переутверждать весь документ, но тогда в приказе о внесении изменений необходимо указать варианты «до/после» в исправленных фрагментах.
Если у вас остались вопросы по положению персональных данных, или вам нужна консультация по применению норм трудового права, позвоните нам по телефону 8 (800) 775 29 55 или напишите на почту: support@profkadrovik.ru.
