Какие локальные нормативно-правовые акты должны быть приняты в городском совете в отношении персональных данных муниципальных служащих? Какой алгоритм принятия данных документов?

Ответ

Ответ на вопрос:

На основании ч. 2 ст. 3 Закона № 25-ФЗ на муниципальных служащих распространяется действие трудового законодательства с особенностями, предусмотренными Законом № 25-ФЗ. При работе с персональными данными также нужно учесть и положения Указа Президента от 30.05.2005 № 609 и постановления Правительства РФ от 21.03.2012 № 211

Следовательно, рассмотрев ваш вопрос, можно сказать, что единого перечня локальных нормативных актов, которые должны быть в отделе кадров, не существует: в каждой организации он свой.

Что касается вопроса: Какой алгоритм принятия данных документов?

Порядок разработки локальных нормативных актов законодательно не установлен, поэтому работодатели определяют его самостоятельно.

На практике, порядок разработки локальных нормативных актов можно разделить на следующие этапы:

Также, необходимо назначить ответственного руководителя рабочей группы, который будет координировать участников, и контролировать установленные сроки разработки локального нормативного акта.

В процессе согласования документ передается от лиц, занимающих нижестоящие должности, лицам, занимающим вышестоящие должности.

Согласование локального нормативного акта оформляют реквизитом "Виза согласования документа". Этот реквизит включает подпись и должность визирующего документ, расшифровку подписи (инициалы, фамилию) и дату подписания, например:

1. Определение вопросов, по которым требуются разработка и утверждение локального нормативного акта . На практике такая потребность выявляется в ходе совещаний, планерок. Сами работники организации могут выступить с инициативой создания локального нормативного акта при выявлении в ходе работы неурегулированных вопросов.
2. Определение этапов и сроков разработки локального нормативного акта . На практике работодатель устанавливает их при обсуждении вопросов, в отношении которых требуются разработка и утверждение локального нормативного акта.
3. Создание рабочей группы по разработке локального нормативного акта . Такая группа может состоять из работников отдела кадров, юридического отдела, бухгалтерии. При необходимости включаются руководители подразделений, в отношении которых разрабатывается локальный нормативный акт. Это позволяет решить все спорные вопросы и согласовать документ с заинтересованными подразделениями еще на стадии разработки.
4. Подготовка проекта локального нормативного акта. На практике такой проект разрабатывает участник рабочей группы, назначенный ответственным исполнителем. Остальные члены группы вправе вносить предложения и замечания в ходе подготовки проекта документа. При необходимости ответственный исполнитель дорабатывает его с учетом внесенных замечаний.
5. Согласование проекта локального нормативного акта . На данном этапе проект необходимо согласовать с участниками рабочей группы и другими заинтересованными лицами (подразделениями).
6. После согласования проект передается на утверждение работодателю . Если для принятия локального нормативного акта необходимо учитывать мнение представительного органа работников (профсоюза), то до утверждения работодателем проект документа и обоснование по нему должны быть направлены в этот орган. Такой порядок предусмотрен ст. 372 ТК РФ.

Если в организации есть профсоюз, то до передачи документа на подпись руководителю нужно получить мотивированное мнение профсоюза на данный проект.

Согласно ст. 12 ТК РФ локальный акт вступает в силу со дня его принятия работодателем или со дня, указанного в этом документе.

Работодатель может принять локальные акты следующими способами:

• утвердить;
• издать приказ (распоряжение) об утверждении локального акта.

При утверждении локальных актов необходимо руководствоваться нормами "Унифицированной системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов. ГОСТ Р 6.30-2003" (утв. Постановлением Госстандарта России от 03.03.2003 N 65-ст).

Также, локальный акт может приниматься путем издания приказа (распоряжения). Унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить ее самостоятельно (образец смотрите ниже). В приказе об утверждении локального акта необходимо отразить:

• дату введения локального акта в действие;
• указание об ознакомлении работников с локальным актом и сроки для этого;
• фамилии и должности лиц, ответственных за соблюдение локального акта;
• другие условия.

В первом случае, на документе гриф утверждения проставляется справа на верхнем поле первого листа документа. В данной графе "Утверждаю" руководитель организации ставит свою подпись и дату утверждения. С этого момента утверждаемый документ вступает в силу и действует до его замены новым. При этом, необходимо отметить, что при утверждении документа грифом "Утверждаю", в дальнейшем не требуется издавать приказ об утверждении.

Во втором случае, издается приказ (распоряжение). При этом, унифицированной формы для такого приказа не предусмотрено, поэтому работодатель вправе определить его самостоятельно. При утверждении документа приказом, гриф утверждения состоит из слова УТВЕРЖДЕН (УТВЕРЖДЕНА, УТВЕРЖДЕНЫ или УТВЕРЖДЕНО), наименования утверждающего документа в творительном падеже, его даты, номера.

Таким образом, можно сказать, что эти два способа утверждения локальных актов являются правомерными.

Подробности в материалах Системы Кадры:

Персональные данные сотрудников

Согласие сотрудника на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в . Обработка таких данных осуществляется только с сотрудников. При этом согласие должно включать в себя следующую информацию:

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) ().

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в . В такой ситуации организация вправе продолжить с учетом ограничений, указанных в части 1 статьи 6, статьи 10 и статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя ().

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем ().

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

Кроме того, согласие не требуется в следующих случаях:

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в

1. Ответ: Как организовать обработку персональных данных сотрудников
   • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
   • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
   • цель обработки персональных данных;
   • перечень персональных данных, на обработку которых дается согласие;
   • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
   • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
   • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
   );
2. иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

• обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, и рядом иных актов);
• проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной или ), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
• обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
• обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
• обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Самые важные изменения этой весны!

• 
  В работе кадровиков произошли важные изменения, которые надо учитывать в 2019 году. Проверьте в формате игры, все ли нововведения вы учли. Решите все задачи и получите полезный подарок от редакции журнала «Кадровое дело».
• 
  Читайте в статье: Зачем кадровику проверять бухгалтерию, нужно ли сдавать новые отчеты в январе и какой код утвердить для табеля в 2019 году
• 
  Редакция журнала «Кадровое дело» выяснила, какие привычки кадровиков отнимают много времени, но при этом почти бесполезны. А некоторые из них даже могут вызвать недоумение у инспектора ГИТ.
• 
  Инспекторы ГИТ и Роскомнадзора рассказали нам, какие документы теперь ни в коем случае нельзя требовать у новичков при трудоустройстве. Наверняка какие-то бумаги из этого списка есть у вас. Мы составили полный список и подобрали для каждого запретного документа безопасную замену.
• 
  Если выплатите отпускные на день позже срока, компанию оштрафуют на 50 000 руб. Уменьшите срок уведомления о сокращении хотя бы на день – суд восстановит сотрудника на работе. Мы изучили судебную практику и подготовили для вас безопасные рекомендации.

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Оператор обязан проверить внутренние системы защиты и подготовить такие документы в единый комплект:

О полном перечне документации, которая потребуется для организации защиты ПД, мы рассказываем в .

Что требуется для сбора информации?

Всю документацию, которая относится к обеспечению сохранности личной информации, условно можно поделить на 3 группы:

Важно! Все документы по защите и обработке ПД в обязательном порядке подлежат утверждению руководителя предприятия. На них должно стоять подтверждение ознакомления с документацией и визы согласования с иными лицами.

Назначение ответственных лиц

Для регуляции работы руководящего и состава кадровиков предприятия следует подготовить приказ о назначении ответственных лиц за обработку персональных сведений о работниках.

Такая мера позволяет избежать нарушений в работе и предотвратить злоупотребления с документацией. Ответственность за обработку личной информации чаще всего возлагается на юриста, специалиста или руководителя отдела кадров, а также секретаря предприятия.

Для назначения ответственных лиц издается приказ, который можно писать в свободном виде на обычном листе бумаги или бланке с логотипом и фирменными реквизитами предприятия. В государственных учреждениях используются стандартные формуляры распорядительных актов. В учетной политике организации должна быть указана информация о формате приказов.

В специальный журнал необходимо внести номер и наименование приказа, дату выпуска. Он должен находиться у начальника отдела кадров, юриста или секретаря предприятия.

Подписанный и завизированный готовый приказ подшивается в отдельную папку. Утратив свою актуальность, он отправляется в архив, где хранится установленный период, после чего утилизируется.

Определение уровня защищенности

К документам, содержащим сведения о требованиях к ЗПД, относится акт определения уровня защищенности.

Акт определения уровня защищенности не относится к конфиденциальным документам. Оператор обязан опубликовать его или обеспечить к нему неограниченный доступ.

Для определения уровня защищенности на предприятии создается комиссия, в составе которой должен быть ответственный за организацию обработки. Акт должен утверждаться руководителем организации, и подписан всеми членами комиссии.

В акте указываются:

1. персональные данные, обрабатываемые в ИСПДн;
2. объем обрабатываемых ПД;
3. уровень защищенности;
4. тип актуальных угроз для ИСПДн.

Начало обработки

Оператор ПД должен выполнять сбор информации, ее обработку и отвечать за сохранение конфиденциальности данных.

Для начала обработки данных требуется следующее документальное оформление:

1. Положение, регулирующее цель обработки, требования к порядку обработки и регистрации ПД, порядку направления уведомлений и ответственных лиц.
2. Внутренние документы политики компании в отношении автоматизированных систем и доступа к ним.
3. Образцы уведомления уполномоченного органа.
4. Образцы согласия и уведомлений субъекта ПД, изменения и дополнения в договора с физлицами, чьи данные обрабатываются (бухгалтерия, кадры, поставщики).
5. Порядок отношений с распорядителем баз ПД.
6. Порядок работы с запросами субъектов ПД.
7. Договор с субъектами, обрабатывающими базы ПД.

Организационно-распорядительная документация

Внимание! Во избежание несанкционированного доступа к персональным сведениям, следует использовать ряд защитных мер, что включает в себя разработку комплекса специализированных организационно-распорядительных документов для внедрения в работу организации, которую проверяют соответствующие органы.

Итак, пакет документации по включает в себя приказы, уведомления, должностные инструкции и положения, которые регулируют порядок сбора информации, обработки и хранения сведений.

Параллельно ведомство дает разъяснения. В том числе, и о форме локального нормативного акта (далее ЛНА) в области обработки персональных данных. Разъяснения — не нормативный акт, но учитывать их стоит: в ходе проверок инспекторы обращают внимание на такие рекомендации.

Какие условия должны быть указаны в ЛНА?

2. При утверждении ЛНА не обязательно учитывать мнение представительного органа работников.

3. Закон не устанавливает требований к количеству ЛНА по работе с персональными данными. Часто у работодателей целый свод таких положений.

Например, ЛНА могут определять:

• общие принципы обработки данных,
• порядок обработки данных на бумажных носителях,
• порядок обработки данных в информационных системах,
• порядок хранения персональных данных,
• порядок передачи данных,
• порядок обработки данных должностными лицами и проч.

• «персональные данные»,
• «оператор»,
• «обработка персональных данных»,
• «трансграничная передача персональных данных» и проч.

Что написать в ЛНА

Они должны быть конкретными и законными. Могут опираться на регламенты деятельности работодателя, бизнес-процессы и проч.

Примеры целей:

• использование персональных данных в информационных системах, с которыми работает компания,
• использование данных при составлении документов,
• передача данных в государственные инстанции (ФСС, ПФР, ФНС и проч.) и другие организации (банки, страховые компании, гостиницы и проч.),
• сбор данных для принятия решения о приеме кандидата на работу и проч.

Указанные в ЛНА персональные данные не должны быть избыточными по отношению к целям.
Например, если речь об обработке персональных данных соискателя, цель — рассмотрение кандидатуры на конкретную должность. Для этой цели достаточно фамилии, имени, отчества, даты, месяца и года рождения, уровня образования, опыта работы, квалификации, знания иностранных языков, контактных телефонов, email.

Если нужно, в ЛНА можно прописать обработку биометрических и специальных персональных данных субъектов (расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья). Доступ к персональным данным

В ЛНА нужно указать перечень должностных лиц, у которых будет внутренний и внешний доступ к персональным данным.

Внутренний доступ.

Может быть полным и ограниченным.

При полном доступе достаточно указать перечень должностей, которым дан такой доступ к персональным данным сотрудников.

При ограниченном — указать должности, перечень персональных данных и действий с ними (с указанием целей обработки).

Также нужно назначить сотрудника, который будет отвечать за обработку персональных данных в компании (ч. 1 п. 1 ст. 18.1 Закона № 152-ФЗ «О персональных данных»).

Назначить можно прямым приказом работодателя или прописать должность в ЛНА.

Желательно, чтобы сотрудник имел отношение к работе с персональными данными: IT-специалист, HR, специалист по подбору и проч. Он будет получать указания от исполнительного органа компании (дирекция, правление, генеральный директор и проч.).

Ответственный сотрудник будет:

• контролировать соблюдение законодательства РФ о персональных данных, в том числе требований к их защите;
• информировать сотрудников о новых нормах, локальных актах о персональных данных;
• принимать и обрабатывать обращения и запросы сотрудников и (или) их представителей по вопросам обработки персональных данных.

В ЛНА нужно указать:

• наименование и местонахождение третьих лиц,
• цели передачи данных и объемы,
• перечень действий по обработке,
• способы обработки,
• требования к защите данных.

Нужно прописать порядок хранения данных и документов, в которых они содержатся (копии паспортов сотрудников, СНИЛС, ИНН и проч.).

Базы данных с персональными данными работников должны находиться на территории Российской Федерации. В ЛНА нужно указать место нахождения таких баз.

Рекомендую отдельно указать сроки хранения данных (не дольше, чем этого требуют цели обработки) в информационных системах и на бумажных носителях. Исключение, когда сроки хранения данных установлены федеральным законом, договором с субъектом персональных данных (сотрудником, партнером и проч.).

Уточните в локальном нормативном акте порядок действий при получении запросов (других обращений) на исправление, удаление, уничтожение персональных данных и прочих требований. Включите в ЛНА формы таких запросов (обращений). Обеспечение конфиденциальности данных

В ЛНА стоит прописать меры, которые компания предпримет для сохранения конфиденциальности персональных данных.

Основные требования к компании (ст. 18.1, 19 Закона № 152- ФЗ «О персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21):

• определение угроз безопасности,
• обнаружение фактов несанкционированного доступа,
• применение мер по обеспечению безопасной обработки данных,
• защита технических средств, на которых хранятся данные,
• установка антивирусов и проч.

Речь об информации о лицах, которые один раз прошли на территорию предприятия. При этом у охраны есть распоряжение при пропуске гостей спрашивать у них ФИО, брать у них паспортные данные и проч.

В таких ситуациях можно вести бумажный журнал однократного пропуска на территорию компании (Постановление Правительства РФ от 15.09.2008 № 687). Копировать информацию из журнала нельзя.

В ЛНА нужно закрепить:

• порядок пропуска гостей на территорию предприятия (ведение журнала и проч.),
• данные, которые охрана запрашивает у гостей и вносит в журнал,
• цели сбора и обработки данных гостей,
• сроки обработки данных,
• перечень лиц (имена или должности), которые ведут журнал и отвечают за его сохранность и проч.

Локальный нормативный акт можно опубликовать на сайте компании, на внутреннем портале организации, наконец, на стендах в офисе. Главное — донести информацию до реальных и потенциальных субъектов персональных данных (сотрудников, партнеров и проч.).

"Учреждения образования: бухгалтерский учет и налогообложение", 2013, N 7

С обработкой персональных данных сотрудников имеют дело все организации, и образовательные учреждения здесь не являются исключением. Более того, бухгалтеры наряду со специалистами кадровой службы по роду своей деятельности первыми начинают работать с личными данными и персонала, и обучающихся. Какие внутренние документы необходимы учреждению, чтобы обеспечить защиту персональной информации?

Вопросы использования персональных данных регулируются гл. 14 ТК РФ, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ) и рядом нормативных правовых актов, изданных во исполнение этого Закона. Пунктом 8 ст. 86 и положениями ст. ст. 87, 88 ТК РФ определено, что порядок хранения и использования личных данных работников устанавливает сам работодатель с соблюдением требований трудового законодательства и иных федеральных законов. Для этого он должен утвердить соответствующий локальный нормативный акт.

Аналогичная обязанность предусмотрена в п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ: в организации должны быть изданы документы, определяющие ее политику в отношении обработки персональных данных, локальные акты, касающиеся обработки таких данных, а также устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений.

Положение о персональных данных

Какие именно нормативные акты необходимо утвердить на локальном уровне, законодатель не уточняет. Однако практика показывает, что к ним, прежде всего, относится положение о персональных данных работников (оно же положение о порядке обработки и защите персональных данных работников, положение о персональных данных, их обработке и обеспечении безопасности и т.п.), которое является главным документом в рассматриваемой сфере, регулирует основные вопросы использования персональных данных и должно быть обязательно принято в образовательном учреждении .

Необходимость разработки и утверждения подобного внутреннего документа подтверждается и нормами других правовых актов федерального уровня. Например , в Постановлении Правительства РФ от 21.03.2012 N 211 <1> в качестве одного из обязательных действий государственного или муниципального органа названо утверждение актом его руководителя правил обработки персональных данных. Правила должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере персональных данных, а также определять:

• содержание персональных данных для каждой цели их обработки;
• категории субъектов, личные данные которых обрабатываются;
• сроки обработки и хранения персональной информации;
• порядок уничтожения данных при достижении целей обработки или при наступлении иных законных оснований.

По сути, перечисленные сведения в том или ином виде находят отражение в положениях о персональных данных, разработанных в организациях.

Следующий аргумент в пользу принятия рассматриваемого локального акта - его в числе прочих внутренних документов учреждения запрашивает при проверке государственный инспектор труда . Отсутствие же положения о персональных данных квалифицируется контролирующим органом как нарушение трудового законодательства. За это организация может быть привлечена к административной ответственности по ст. 5.27 КоАП РФ: должностному лицу грозит штраф в размере от 1000 до 5000 руб., а юридическому лицу - штраф в размере от 30 000 до 50 000 руб. или административное приостановление деятельности на срок до 90 суток.

Суды поддерживают позицию инспекций труда, подтверждая правомерность и обоснованность штрафных санкций за подобные нарушения. В частности, такие выводы содержатся в Постановлениях Московского городского суда от 29.08.2011 N N 4а-1742/11 и 4а-1743/11, ФАС МО от 01.11.2006, 08.11.2006 N КА-А40/10787-06.

В то же время важно, чтобы образовательное учреждение не только утвердило положение о персональных данных, но и под подпись ознакомило с ним своих работников (в силу п. 8 ст. 86 ТК РФ). Иначе нормы трудового законодательства будут нарушены, на что указано, например, в Постановлении Девятого арбитражного апелляционного суда от 17.08.2006, 24.08.2006 N 09АП-9595/06-АК.

Обратите внимание! Сотрудники должны письменно фиксировать факт ознакомления с положением о персональных данных. В противном случае (при отсутствии личной подписи) работодатель не сможет доказать, что работник действительно был ознакомлен с этим документом.

Для ознакомления можно создать отдельный журнал со списком сотрудников, где в соответствующей ячейке каждый поставит подпись и дату. Специалисты, принимаемые на работу после утверждения положения о персональных данных, также могут ставить свою подпись в журнале (либо для них факт ознакомления должен быть зафиксирован в тексте трудового договора).

Однако нужно избегать следующей ошибки: сначала включать в трудовой договор строку об ознакомлении с рассматриваемым локальным актом (и принимать по такому договору сотрудников на работу), а лишь потом утверждать положение о персональных данных. По этому поводу тоже сложилась судебная практика. В частности, Арбитражный суд г. Москвы Решением от 04.05.2006, 15.05.2006 по делу N А40-17389/06-146-165 признал правомерными действия государственной инспекции труда по привлечению организации к административной ответственности и подтвердил факт нарушения законодательства о труде и об охране труда. Из материалов дела следовало, что работник расписался в трудовом договоре об ознакомлении с положением о персональных данных, хотя само положение было принято в организации только полтора года спустя. Таким образом, была нарушена норма п. 8 ст. 86 ТК РФ, которая устанавливает обязанность работодателя знакомить персонал под подпись с документами, касающимися обработки личных данных работников, а также их прав и обязанностей в этой области.

Содержание положения о персональных данных

В положении о персональных данных должны быть раскрыты основные вопросы, связанные с получением, использованием и защитой личной информации. А поскольку образовательные учреждения обрабатывают личные данные не только своих сотрудников, но и обучающихся и их родителей, эту особенность также необходимо отразить в рассматриваемом локальном акте.

Положение о персональных данных, как правило, включает в себя следующие разделы:

1. Общие положения.
2. Основные понятия и состав персональных данных.
3. Обработка персональных данных.
4. Передача персональных данных.
5. Доступ к персональным данным.
6. Права и обязанности субъекта персональных данных.
7. Права и обязанности оператора персональных данных.
8. Защита персональных данных.
9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Рассмотрим содержание некоторых разделов более подробно.

Общие положения

Здесь следует указать цель создания документа (защита информации, относящейся к личности и личной жизни работников и обучающихся образовательного учреждения) и вопросы, которые он регулирует (порядок получения, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным). В этом разделе также должны быть даны ссылки на правовые акты, на основании которых разработано положение о персональных данных: Конституция РФ, ТК РФ, Федеральный закон N 152-ФЗ, Постановления Правительства РФ от 15.09.2008 N 687 <2>, от 01.11.2012 N 1119 <3> и др.

<2> "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
<3> "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Кроме того, нелишним будет указать, что положение о персональных данных и изменения к нему утверждаются приказом руководителя образовательного учреждения, а также что локальный акт является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

Основные понятия и состав персональных данных

Определения основных понятий в области персональных данных приведены в ст. 3 Федерального закона N 152-ФЗ. Прежде всего, в этом разделе целесообразно раскрыть содержание терминов "персональные данные" (в соответствии с п. 1 ст. 3 Федерального закона N 152-ФЗ) и "обработка персональных данных" (в соответствии с п. 3 ст. 3 Федерального закона N 152-ФЗ). Отдельно могут быть даны определения персональным данным работника (информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника) и обучающегося (информация, необходимая образовательному учреждению в связи с отношениями, возникающими между обучающимся, его родителями (законными представителями) и учреждением).

Что касается состава личных данных, перечень таких сведений законодательно не установлен. Так, в п. 2 ст. 86 ТК РФ сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами. То есть круг сведений устанавливается в локальном нормативном акте организации - положении о персональных данных.

Здесь важно разграничить персональные данные работника и обучающегося , а также документы, содержащие эту информацию. Некоторые из сведений приведены в таблице.

Обработка персональных данных

Требования, которые должны соблюдаться при обработке личных данных, приведены в ст. 86 ТК РФ и ст. ст. 6, 9 Федерального закона N 152-ФЗ. Например , в этом разделе можно прописать, что все персональные данные следует получать у самого работника или обучающегося (его родителей), а также что использование данных возможно только в соответствии с целями, определившими их получение. Целесообразно обозначить и сроки хранения документов.

Здесь же можно указать, что организация вправе обрабатывать персональную информацию только с согласия граждан, которым такие сведения принадлежат (п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Однако при этом нужно учитывать следующие особенности.

1. Как сказано в Разъяснениях Роскомнадзора <4>, письменное согласие работника может быть оформлено в виде отдельного документа или закреплено в тексте трудового договора. В обоих случаях согласие должно отвечать требованиям, предъявляемым ч. 4 ст. 9 Федерального закона N 152-ФЗ.

1. Если обработка персональных данных осуществляется в рамках трудового законодательства, получать согласие работника не требуется . Однако, как отмечает Роскомнадзор, такое возможно при соблюдении двух условий: объем обрабатываемых работодателем персональных данных не превышает установленного перечня и соответствует целям обработки, предусмотренным трудовым законодательством.

Кроме того, получение организацией согласия сотрудника не требуется, если обязанность по обработке, в том числе по опубликованию и размещению персональных данных работников в Интернете, предусмотрена законодательством РФ (п. 1 Разъяснений Роскомнадзора). Например , в отношении образовательных учреждений такая обязанность определена Постановлением Правительства РФ от 18.04.2012 N 343 <5>. Согласно этому документу учреждение должно размещать на своем официальном сайте в том числе информацию, содержащую персональные данные: фамилии, имена, отчества руководителя учреждения и руководителей структурных подразделений, графики их работы, адреса электронной почты, а также фамилии, имена, отчества педагогических работников, их должности, уровень образования, квалификация и др.

<5> "Об утверждении Правил размещения в сети Интернет и обновления информации об образовательном учреждении".

1. Для обработки личных данных обучающихся можно также не оформлять их согласия. Пункт 5 ч. 1 ст. 6 Федерального закона N 152-ФЗ устанавливает, что такое допустимо в случаях, когда обработка персональных данных необходима для исполнения договора , стороной которого является субъект персональных данных. В свою очередь, в ст. 54 Федерального закона от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации" <6> говорится о заключении договора об образовании между организацией, осуществляющей образовательную деятельность, и лицом, зачисляемым на обучение (родителями несовершеннолетнего лица).

1. В отношении специальных категорий персональных данных (в силу ч. 1 ст. 10 Федерального закона N 152-ФЗ к ним относится, например, информация о состоянии здоровья) письменное согласие обучающегося (его родителей) на обработку получить придется . Об этом сказано в п. 1 ч. 2 ст. 10 Федерального закона N 152-ФЗ.

Доступ к персональным данным

Поскольку доступ к личным данным разрешен только специально уполномоченным лицам (абз. 6 ст. 88 ТК РФ), в этом разделе указывается круг таких лиц. В частности, внутренний доступ могут иметь следующие сотрудники: руководитель учреждения, его заместители, главный бухгалтер, бухгалтер, делопроизводитель, сам субъект персональных данных (работник или обучающийся (его родитель)). Здесь достаточно назвать должности уполномоченных сотрудников и перечень сведений, к которым имеет доступ каждый из них. К примеру, можно указать, что делопроизводитель имеет право доступа ко всем персональным данным; главный бухгалтер, бухгалтер - к сведениям о служебном положении, составе семьи, а также к сведениям, имеющим отношение к начислению заработной платы, налогов и иных обязательных платежей. А вот поименный список конкретных лиц следует утвердить отдельным приказом.

Внешний доступ к персональным данным могут иметь государственные органы (учредитель, налоговая инспекция, правоохранительные органы, органы статистики, органы социального страхования, подразделения ПФР и др.). В числе других пользователей - иные организации (сведения о работающем или уволенном сотруднике могут быть предоставлены только на основании их письменного запроса), а также родственники и члены семей (передача сведений возможна при письменном разрешении самого субъекта персональных данных).

Защита персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональной информации от неправомерного использования или утраты должна обеспечивать сама организация за счет своих средств. Поэтому в данном разделе следует определить формы хранения документов, содержащих персональные сведения . Такой формой, например, может быть хранение соответствующих документов в запирающихся шкафах либо сейфах, обеспечивающих защиту от несанкционированного доступа, или защита персональных компьютеров паролями доступа (при хранении сведений в электронном виде).

Кроме того, здесь может быть установлен круг лиц, которые вправе отвечать на письменные запросы о предоставлении информации (например, сведения могут предоставлять только уполномоченные лица), форма ответов на письменные запросы других организаций (на бланке учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках). Целесообразно определить и возможность передачи информации, содержащей персональные данные, по телефону, факсу, электронной почте (например, это запрещается либо для этого необходимо письменное согласие субъекта персональных данных).

Иные локальные акты учреждения

Помимо положения о персональных данных и документа, в котором фиксируется факт ознакомления сотрудников с указанным положением, образовательному учреждению необходимо разработать другие локальные акты в области защиты персональных данных. Жестких требований об их количестве законодатель не устанавливает. В ч. 1 ст. 18.1 Федерального закона N 152-ФЗ лишь говорится о том, что организация должна самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей, предусмотренных законодательством РФ в области персональных данных. Это меры организационного, правового и технического характера.

Пакет локальных актов может быть дополнен следующими документами, с которыми соответствующие работники тоже должны ознакомиться под подпись.

1. Приказ о назначении лица, ответственного за организацию работы с персональными данными (им, как правило, становится либо менеджер по кадрам, либо бухгалтер). Основанием для такого назначения является п. 1 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ. Обязанности ответственного сотрудника (согласно ст. 22.1 Федерального закона N 152-ФЗ) могут быть определены отдельным документом.
2. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (основание - п. 13 Положения, утвержденного Постановлением Правительства РФ N 687). Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 ТК РФ).
3. Обязательство о неразглашении персональных данных, позволяющее ввести личную ответственность уполномоченных работников за сохранность и конфиденциальность персональных данных. Основанием здесь является п. 2 ч. 1 ст. 18.1 Федерального закона N 152-ФЗ (предписывает издать в организации локальные акты, устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, устранению последствий таких нарушений). Другим способом обеспечить неразглашение сведений может стать включение этого условия в трудовые договоры с уполномоченными сотрудниками.
4. Письменное согласие на обработку персональных данных (в случаях, когда необходимо его получение).

Образовательное учреждение может разработать и другие внутренние документы, например о мерах, принимаемых для обеспечения безопасности персональных данных.

Г.Зайцева

Эксперт журнала

"Учреждения образования:

бухгалтерский учет и налогообложение"