Лист ознакомления с положением об обработке персональных данных

Добавил пользователь Валентин П.
Обновлено: 19.09.2024

Порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса Российской Федерации и других федеральных законов (статья 87 ТК РФ).

Эта норма обязывает работодателя принять локальный нормативный акт, который будет регулировать порядок хранения и использования персональных данных. Таким локальным нормативным актом, как правило, является Положение о персональных данных работников.

В соответствии с пунктом 8 статьи 86 Трудового кодекса Российской Федерации работники и их представители должны быть ознакомлены под роспись с документами, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой области.

Положение о персональных данных - обязательный документ?

Положение о персональных данных относится к тем локальным нормативным актам, которые обязательно должны быть в организации.

В соответствии со статьей 87 Трудового кодекса РФ порядок хранения и использования персональных данных работников устанавливается работодателем с учетом требований Трудового кодекса РФ и других федеральных законов.

Данная норма подразумевает регулирование порядка обработки персональных данных на локальном уровне. Следовательно, работодатель должен Положением о персональных данных определить порядок хранения, обработки и использования персональных данных.

Оформление Положения о персональных данных

Согласно ст.68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка и другими локальными нормативными актами, непосредственно связанными с трудовой деятельностью работника.

Поскольку из содержания пункта 1 статьи 86 Трудового кодекса следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, которые также связаны с их трудовой деятельностью.

А значит со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора.

Структура Положения о персональных данных

Структура Положения о персональных данных может быть следующей:

внутренний (предоставление персональных данных отдельным работникам компании);
внешний (передача персональных данных представителям других компаний и государственных органов).

Введение в действие Положения о персональных данных

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается работодателем посредством издания приказа, который подписывает руководитель компании либо другое уполномоченное на это лицо.

При наличии в организации представительного органа работников Положение о персональных данных должно приниматься с учетом требований статьи 372 Трудового кодекса Российской Федерации.

Согласно указанной статье перед принятием решения об издании локального нормативного акта работодатель направляет его проект и обоснование его издания в выборный орган первичной профсоюзной организации, представляющий интересы всех или большинства работников.

Такой орган не позднее 5 рабочих дней со дня получения проекта локального нормативного акта направляет работодателю мотивированное мнение о проекте, составленное в письменной форме.

В случае если это мнение выражает несогласие с проектом или содержит предложения по его совершенствованию, работодатель может согласиться с мнением профсоюзного органа либо в течение 3 дней после его получения провести дополнительные консультации с указанным органом в целях достижения решения, которое устроило бы обе стороны.

Если согласие не достигнуто, возникшие разногласия оформляются протоколом, после чего работодатель имеет право своим решением принять локальный нормативный акт.

В свою очередь профсоюзный орган может обжаловать это решение в соответствующую государственную инспекцию труда или в суд. Также согласно абзацу 4 статьи 372 ТК РФ указанный орган может начать коллективный трудовой спор в соответствии с действующим законодательством.

Когда наступает ответственность?

Если на момент проверки государственной инспекцией труда Положение о персональных данных было принято в организации и работники ознакомлены с ним под роспись, то оснований для применения санкций нет.

Поскольку исходя из содержания ст.87 ТК РФ Положение о персональных данных является обязательным документом, в случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения компании к ответственности согласно статье 5.27 КоАП РФ. Однако если на момент проверки Положение о персональных данных в организации имеется и работники с ним ознакомлены, оснований для применения штрафных санкций к работодателю нет.

Тот факт, что на момент приема работников в организацию указанного положения не было, не будет иметь значения, если работодателем не были допущены нарушения правил хранения, использования и обработки персональных данных.

Ознакомление с Положением о персональных данных

Исходя из требований статей 68 и 86 Трудового кодекса Российской Федерации работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных.

Факт ознакомления с указанным положением может фиксироваться как в тексте самого трудового договора (посредством перечисления локальных нормативных актов, с которыми работник ознакомлен до подписания договора), так и в отдельном документе (в самом положении на листе ознакомления с ним).

Работодатель также может предусмотреть в организации журнал ознакомления работников с локальными нормативными актами, где работники будут расписываться в подтверждение того, что они ознакомлены с соответствующими актами (в том числе с Положением о персональных данных).

Рассылка документа по электронной почте является ознакомлением?

Наших специалистов часто спрашивают: можно ли рассылку текста Положения о персональных данных на служебные электронные адреса работников считать надлежащим ознакомлением работников с документом?

Ответ: нет, такой способ ознакомления с локальным нормативным актом не соответствует требованиям российского законодательства и вот почему.

Как указано в пункте 8 статьи 86 Трудового кодекса РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Исходя из смысла этой нормы, работодатель обязан именно под роспись ознакомить работников с Положением о персональных данных.

Рассылка документа по электронной почте не будет считаться ознакомлением под роспись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с локальным нормативным актом.

Обратите внимание: по мере выхода и вступления в силу изменений законодательства Российской Федерации часть информации, приведенной на этой странице, может оказаться устаревшей и не подлежащей применению.

Работники предприятий и организаций должны в обязательном порядке знакомиться со всеми нормативно-правовыми актами, издаваемыми внутри компании.

Внимание! Этот документ можно скачать в КонсультантПлюс.

Бланк и образец
Онлайн просмотр
Бесплатная загрузка
Безопасно

Что такое нормативные акты

К нормативным актам относят любые документы, которые разрабатываются на предприятии и которые направлены на организацию отношений между работодателем и подчиненным, формирование рабочего процесса, создание внутренних и внешних связей и т.д.

В частности, нормативными актами считаются:

приказы и распоряжения руководства; ;
правила охраны труда и безопасности на производстве;
прочие подобные документы.

Необходимо отметить, что нормативные акты могут иметь временный или постоянный характер, но они всегда действуют строго только в той компании, в которой выпускаются и идут от лица директора или администрации фирмы.

Все внутренние нормативные акты должны разрабатываться строго в соответствии с законодательством Российской Федерации и учитывать интересы как работодателя, так и его подчиненных.

Зачем знакомить работников с локальными нормативными актами

Каждый сотрудник предприятия обязан прочесть все внутренние нормативные акты, действующие в организации.

Это необходимо для того, чтобы сотрудник четко знал правила работы в компании, условия труда, права, обязанности и полномочия свои лично и работодателя.

При возникновении каких-либо вопросов или подозрения на нарушение трудовых прав, работник имеет право проконсультироваться у юрисконсульта организации или стороннего юриста.

Что такое лист ознакомления с локальными нормативными актами

Сведения о том, что сотрудник компании прочел тот или иной нормативный акт вносятся в специальный лист ознакомления.

Этот документ является очень важным, поскольку, в случае, если какие-либо разногласия и конфликты дойдут до трудовой инспекции или суда, он может стать доказательством правоты, причем как со стороны работодателя, так и со стороны подчиненного (в зависимости от того, как развивались события).

Именно поэтому подписи в лист ознакомления следует собирать тщательно и скрупулезно. Недопустимо пропускать кого-либо из работников предприятия, а тем более подделывать их автографы. Если кто-либо из сотрудников по какой-то причине не подписал лист ознакомления с нормативным актом (например, по причине болезни, отпуска или командировки), надо дождаться его возвращения и взять подпись.

На каком этапе происходит ознакомление

Обычно знакомство с большей частью локальных нормативно-правовых актов происходит на этапе трудоустройства работника. Но иногда документы разрабатываются в период текущей деятельности предприятия, и тогда ознакомления происходит после того, как акт будет утвержден руководством компании.

Что будет если не подписать документ

Каждый сотрудник имеет право подписывать тот или иной нормативный акт или отказаться от этого.

Работодатель не может принудить подчиненного к ознакомлению с документом, как не может и наложить за отказ от этого какое-либо дисциплинарное взыскание.

Единственное, что следует учесть сотруднику при нежелании читать нормативный акт и подписывать лист об ознакомлении с ним – то, что в какой-то момент может возникнуть ситуация, в которой информация, изложенная в документе, может оказаться очень полезной.

Кто составляет акт об ознакомлении с нормативным актом

Нормативные акты обычно разрабатываются специалистами юридических отделов или кадровиками, а вот ознакомление с ними может лечь на плечи любого работника организации. Обычно ответственное за это лицо назначается специальным приказом директора предприятия, который в том числе утверждает и сам акт.

Как сформировать документ

Унифицированные формы первичных кадровых и бухгалтерских документов с 2013 года отменены (за некоторым исключением), поэтому лист об ознакомлении с локальными нормативными актами может составляться работниками организации в произвольном виде или по внутреннему шаблону.

Единственное, что при формировании бланка необходимо соблюдать определенную структуру и правила русского языка.

название предприятия;
наименование документа;
номер, дату и суть нормативного акта, о прочтении которого расписывается работник.

Далее рекомендуется сделать таблицу, в которую нужно внести:

порядковый номер сотрудника;
фамилию-имя-отчество сотрудника;
должность;
дату ознакомления с актом;
подпись.

При необходимости сюда можно добавить и другие столбцы (к примеру, о структурном подразделении, в котором трудится работник или каких-то примечаниях).

Если сотрудников, которых касается нормативный акт много, то для их подписей может потребоваться несколько листов. Все их нужно скрепить (можно при помощи степлера, но лучше суровой нитью) и пронумеровать.

Как оформить документ

Лист ознакомления можно писать на простом листе А4 формата или на фирменном бланке предприятия – это роли не играет, как и то, от руки он будет составлен или на компьютере.

Важно, чтобы документ содержал оригинальные подписи тех сотрудников предприятия, кого он касается.

Заверять бланк печатью организации не обязательно, поскольку начиная с 2016 года юридические лица имеют право не использовать для удостоверения своих бумаг штемпельные изделия (если только иное не прописано в учредительной документации фирмы).

После создания лист надо завизировать в журнале учета внутренних документов.

Хранение бланка

Лист ознакомления с нормативным актом должен лежать в отделе кадров предприятия в отдельной папке вместе с тем документом, которого он касается. Срок его хранения законодательно не ограничен, но, как минимум, весь период действия акта он должен быть цел и невредим.

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

4. Согласие на обработку персональных данных, разрешенных субъектом для распространения (новое требование)

Как еще может называться данный документ:

Согласие на распространение персональных данных

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список - какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

Согласие на обработку персональных данных
Согласие пользователя

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

Правила рассмотрения запросов субъектов персональных данных или их представителей

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

- Постановление Правительства РФ от 01.10.2012 г. №1119
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

Поручение обработки персональных данных
Договор на обработку персональных данных
Договор обработки персональных данных
Дополнительное соглашение на поручение обработки персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

Перечень информационных систем персональных данных

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

Приказ об определении границ контролируемой зоны и требований к ее безопасности

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

С 1 марта 2021 года в организации поменяли Положение о персональных данных. Что делать со старыми положениями? Как правильно составить приказ, что старое положение больше не действует, а вместо него новое? Кто должен ознакомиться с приказом?

ОТВЕТ:

Как и любой другой ЛНА, Положение о ПД (далее в т. ч. Положение), которое утратило силу, выбрасывать не нужно: оно хранится в организации постоянно, т. е. весь срок существования юридического лица. Такой срок хранения установлен для локальных актов (правила, регламенты, положения и т. п.)[1].

ЛНА вступает в силу со дня его принятия работодателем либо со дня, указанного в самом ЛНА, а прекращает свое действие в связи с его отменой другим ЛНА или в связи с истечением срока (ч. 7–8 ст. 12 ТК РФ).

То есть в самом Положении о ПД можно указать, с какой даты оно начинает действовать. Если такая дата не указана, ЛНА вступает в силу с даты его утверждения работодателем. Утвердить Положение о ПД можно двумя способами:

• личной подписью руководителя организации на грифе утверждения или

Второй способ позволяет не только зафиксировать факт утверждения ЛНА и дату его вступления в силу, но и закрепить какие-либо поручения должным лицам, связанные с вводом в действие нового Положения.

С приказом об утверждении нового Положения о ПД, если он был издан, нужно ознакомить только должностных лиц, которых коснулись распоряжения. Работников знакомят непосредственно с самим Положением.

Способ ознакомления зависит от возможностей организации и сложившейся культуры:

• текст ЛНА может быть размещен на сайте компании или в доступных местах для самостоятельного прочтения или

• каждого работника лично можно знакомить с вновь принятым Положением о ПД в отделе кадров или в структурном подразделении.

Независимо от способа ознакомления работники должны своей подписью подтвердить факт ознакомления с ЛНА. Возможны варианты:

• работник расписывается в листе ознакомления, который подшивается к Положению о ПД;

• ставит подпись в специальном журнале ознакомления с локальными актами;

• подписывает УКЭП или УНЭП[3] отправленный ему файл с текстом Положения о ПД;

специалист по кадрам

[2] П. 4.4 Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 237).

[3] Усиленная квалифицированная электронная подпись или усиленная неквалифицированная электронная подпись.

Читайте также: