Положение о персональных данных – документ, который устанавливает порядок работы организации с персональными данными работника. Положение должно быть составлено в строгом соответствии с Федеральным законом № 152-ФЗ «О персональных данных».
Положение о персональных данных — это внутренний локальный нормативный акт, он должен быть в любой организации. На законодательном уровне требования к работе с персданными установлены Федеральным законом от 27.07.2006 № 152-ФЗ.
Организации не избежать работы с персональными данными сотрудника. Они нужны для заключения трудового договора, выплаты заработной платы и пособий.
Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Для обработки и использования персональных данных организация обязательно должна получить письменное согласие работника.
Работодатель обязан ознакомить работника с целями, источниками, способами сбора персональных данных и их использования.
Согласие на обработку персональных данных не заменяет Положение о защите персональных данных работников.
Как составить Положение о персональных данных работников
Структуру Положения и текст организация вправе разработать самостоятельно.
Ориентироваться можно на разделы, которые традиционно включают в любой организационный документ.
- Общие положения.
- Способы получения персональных данных.
- Операции с персональными данными.
- Использование персональных данных.
- Передача персональных данных.
- Организация доступа к персональным данным.
- Сроки и порядок хранения персональных данных.
- Ответственность сторон или гарантии конфиденциальности персональных данных.
В Положении нужно определить должности сотрудников, которые получать доступ к персональным данным других работников.
Отдельный пункт стоит посвятить порядку передачи данных по запросам госорганов, ведомств и других организаций.
Работодатель не имеет права:
- сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо, чтобы избежать угрозы жизни и здоровью работника;
- сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- запрашивать информацию о состоянии здоровья работника, за исключением профессий, где требуется медподтверждение состояния здоровья;
- получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности и т.п.
- при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Работодатель обязан:
- разрешать доступ к персональным данным работников только уполномоченным лицам и только к тем данным, которые необходимы для выполнения конкретных функций;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.