Документы необходимые предприятию для обработки персональных данных

Пакет документов для обработки персональных данных на сайте

Здравствуйте, хотим выпустить на рынок сайт и мобильное приложение к нему. В рамках их деятельности будет производиться обработка персональных данных при регистрации. ФИО, возраст, адрес и т.д. Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.

Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.

Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности). — Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации.

— Журнал учета машинных носителей информации с персональными данными. Нужно ли что- то еще либо тут что-то лишнее?

19 Сентября 2017, 09:09, вопрос №1755469 Ольга, г. Самара 600 стоимость вопросавопрос решён Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (3) получен гонорар 50% 10,0 Рейтинг Правовед.ru 13423 ответа 4724 отзыва эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г.

Москва Бесплатная оценка вашей ситуации

1. эксперт
2. 10,0рейтинг

Добрый день, Ольга.По поводу Вашего списка, то из него можно отказаться от:— Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн— Положение об обеспечении безопасности автоматизированной информационной системы организации.Остальные документы нужно оставить.Единственное надо понимать, что:— Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).Это два разных документа, то есть у Вас отдельно должна быть политика конфиденциальности на сайте и отдельно пользовательское соглашение, в соглашении при этом должна быть ссылка на политику конфиденциальности.Какие-либо дополнительные документы не требуются, главное, чтобы обозначенные документы подходили конкретно к Вам.С Уважением,Васильев Дмитрий.

19 Сентября 2017, 09:23 1 0 получен гонорар 50% 3356 ответов 3309 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.

Москва Бесплатная оценка вашей ситуации Добрый день, Ольга!Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.ОльгаНе совсем так.

Не «зарегистрироваться», а уведомить Роскомнадзор по соответствующей форме о начале обработки персональных данных.Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.ОльгаПо сути, Вам нужно как минимум два документа:

• Соглашение с пользователями.
• Собственно, само уведомление в Роскомнадзор;

Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности). — Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации. — Журнал учета машинных носителей информации с персональными данными.ОльгаЭто всё в принципе тоже нужно, как раз в уведомлении Вы укажите, каким образом Вы будете обеспечивать сохранность данных и чем это регламентируется.

19 Сентября 2017, 09:23 2 0 10,0 Рейтинг Правовед.ru 14377 ответов 6487 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист Бесплатная оценка вашей ситуации

1. 10,0рейтинг
2. эксперт

Здравствуйте Ольга.Согласно принятым рекомендациям Роскомнадзора, операторам, осуществляющим обработку персональных данных необходимо подать соответствующее уведомление в Роскомнадзор.Согласно:Министерство связи и массовых коммуникаций Российской ФедерацииФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙПРИКАЗот 30 мая 2017 года N 94Об утверждении Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения3. Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:3.1.1.

Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:3.1.1.1. Для юридических лиц (Операторов): полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных; наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).3.1.1.2.

Для физических лиц: фамилия, имя, отчество (при наличии) физического лица (Оператора); адрес Оператора; данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ; индивидуальный номер налогоплательщика (ИНН, при наличии).3.1.1.3. Для государственных и муниципальных органов (Операторов): полное и сокращенное наименование государственного, муниципального органа; наименование территориальных органов, осуществляющих обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (, , , ОКОП, ).3.1.2.

Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.3.1.3.

Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.3.1.4.

Категории субъектов, персональные данные которых обрабатываются.Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).3.1.5. Правовое основание обработки персональных данных.Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора.

Не рекомендуется указывать в качестве правового основания . Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:- неавтоматизированная обработка персональных данных;- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;- смешанная обработка персональных данных.При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.3.1.7.

Описание мер, предусмотренных и , предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:а) наименование используемых криптографических средств;б) класс средств криптографической защиты информации (СКЗИ).Данную информацию рекомендуется представлять на основании .3.1.8.

Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.3.1.9. Дата начала обработки персональных данных.Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).3.1.10. Срок или условие прекращения обработки персональных данных.Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.3.1.11.

Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.3.1.12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:- наименование стран размещения базы данных;- конкретные адреса местонахождения базы данных.Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе.

В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.3.4.

Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.3.5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.

19 Сентября 2017, 09:27 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене.

Похожие вопросы 08 Июня 2017, 20:30, вопрос №1662097 15 Декабря 2017, 12:25, вопрос №1846732 31 Мая 2017, 20:39, вопрос №1653568 13 Октября 2016, 17:17, вопрос №1406929 12 Марта 2021, 16:25, вопрос №1932122 Смотрите также

Поддержка экспертов в области защиты персональных данных

При возникновении вопросов вы получите квалифицированную поддержку наших специалистов. Они помогут заполнить документы и разъяснят требования законодательства в области защиты персональных данных. Вам не придется гуглить. Также эксперты проверяют документы, заполненные вами с помощью онлайн-сервиса Б-152*.

*Опция доступная пользователям в тарифе «Премиум».

Проблема №1. Введение клиента в заблуждение Вранье

Тут, наверное, сразу стоит начать с примеров. На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей.

Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо. Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами.

Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки.

В-третьих, я о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

Внутренние документы по защите персональных данных в организации

Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

1. Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);
2. Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.
3. Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);
4. Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);
5. Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям.

Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. 22 закона «О персональных данных»).

Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д. Читайте также:

Обработка персональных данных.

Полезные документы

Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:• организующее и (или) осуществляющее обработку персональных данных;• определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.Статья 85 ТК РФ говорит о том, что персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.Требование № 3: все персональные данные работника следует получать у него самого.

Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.Работники не должны отказываться от своих прав на сохранение и защиту тайны.Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:• запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника.

Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;• запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;• следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;• передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;• доступ к персональным данным работников разрешается лишь специально уполномоченным лицам.

Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;• запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих.

Например:• положение о персональных данных;• приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;• обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;• порядок хранения персональных данных.Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.Приведём несколько примеров соответствующих документов.Образец приказа о назначении ответственного за организацию обработки персональных данных:Общество с ограниченной ответственностью «Работодатель»Приказ от 20.03.13 № 55Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»ПРИКАЗЫВАЮ:Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф.

И. О.). Дата, подпись.Образец положения о персональных данных:Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФПРИКАЗЫВАЮ:1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее — Положение).2. Начальнику отдела персонала (Ф.

И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации подроспись.3.

В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).4.

Местом хранения Положения определить кабинет отдела персонала.5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).Должность, дата, подписьС приказом ознакомлены: Должность, подпись, расшифровкаОбщество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)УТВЕРЖДАЮГенеральный директор ООО «Работодатель»ПОЛОЖЕНИЕо персональных данных работников ООО «Работодатель»1.

Общие положения1.1. Положение о персональных данных работников ООО «Работодатель» (далее — Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.1.2.

Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее — Общество).1.3.

Персональные данные работника — любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями.

Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.2. Получение персональных данных2.1.

Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.2.2.

При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:— Ф.И.О.;— пол;— дату рождения;— семейное положение;— наличие детей, их даты рождения;— воинскую обязанность;— место жительства и контактный телефон;— образование, специальность;— стаж работы по специальности;— предыдущее(ие) место(а) работы;— факт прохождения курсов повышения квалификации;— наличие грамот, благодарностей.2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.2.4.

При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником.

По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).2.7.

Личное дело работника состоит из следующих документов:— трудовой договор;— личная карточка формы № Т-2;— копия трудовой книжки;— характеристики, рекомендательные письма;— паспорт (копия);— документ об образовании (копия);— военный билет (копия);— свидетельство о регистрации в налоговом органе (ИНН) (копия);— пенсионное свидетельство (копия);— свидетельство о заключении брака (копия);— свидетельство о рождении детей (копия);— копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);— результаты медицинского обследования (в случаях, установленных законодательством);— документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).2.8.

Документы, поступающие в личное дело, хранятся в хронологическом порядке.3. Хранение персональных данных3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам.

Личные дела находятсяв отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-витном порядке.3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.3.4.

В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:— трудовые книжки;— подлинники и копии приказов (распоряжений) по кадрам;— приказы по личному составу;— материалы аттестаций и повышения квалификаций работников;— материалы внутренних расследований (акты, докладные, протоколы и др.);— копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;— другие.3.5.

Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электроннымбазам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей.

Пароли устанавлива-ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным даннымработников. Пароли изменяются не реже одного раза в два месяца.3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).3.7.

Заместитель генерального директора — директор по персоналу осуществляет общий контроль соблюдения работниками мер позащите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числес настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.4. Доступ к персональным данным4.1. Доступ к персональным данным работников имеют:— учредители Общества;— генеральный директор;— заместитель генерального директора;— финансовый директор;— директор по персоналу;— главный бухгалтер;— юрист;— начальник отдела безопасности;— руководители структурных подразделений (только к данным работников своего подразделения);— специалисты отдела по работе с персоналом и бухгалтерии — к тем данным, которые необходимы им для выполнения конкретных функций.4.2.

Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.5.

Обработка персональных данных работников5.1.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.5.2.

Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:— персональные данные являются общедоступными;— персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;— обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;— обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;— по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.5.3.

Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.5.5.

Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.5.7.

Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.6. Права и обязанности работника в области защиты его персональных данных6.1.

Работник обязуется предоставлять персональные данные, соответствующие действительности.6.2.

Работник имеет право на:— полную информацию о своих персональных данных и обработке этих данных;— свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;— определение своих представителей для защиты своих персональных данных;— доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;— обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.7.

Передача персональных данных7.1.

Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.7.2.

Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.7.4.

Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.8.

Ответственность8.1. Разглашение персональных данных работника Общества, то есть:— передача посторонним лицам, не имеющим к ним доступа;— публичное раскрытие;— утрата документов и иных носителей, содержащих персональные данные работника;— иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, —лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.8.3.

Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст.

68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.Образец обязательства о неразглашении персональных данных:Обязательство о неразглашении персональных данных работников ООО «Работодатель»Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а).

Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).Дата, подписьЕсли возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:Генеральному директору ООО «Работодатель»от (Ф.

И. О.),зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)Согласие на передачу персональных данных третьей сторонеЯ, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:— Ф.

И. О., дата рождения;— номер свидетельства государственного пенсионного страхования;— размер заработной платы;— размер начисленных и уплаченных страховых взносов.Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подписьВАЖНО:Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст.

13.11 КоАП РФ, 137 УК РФ).Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.Николай СОЛИЧЕНКО, эксперт ООО «Smart Solution»

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований . Рекомендуется включить в документ следующие разделы:

1. список информации и документов, содержащих данные о гражданах;
2. защита конфиденциальной информации;
3. обязательства нанимателя;
4. права и обязанности субъекта;
5. ответственность должностных лиц и компании.
6. способы и виды работы с информацией о гражданах;
7. процедура предоставления личных сведений;
8. оформление доступа к сведениям;
9. общие сведения;

Согласие работника на обработку персональных данных

Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации.

Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн. Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).

Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.

Речь идет о таких данных, как:

1. факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
2. физиологические особенности, здоровье;
3. владение недвижимым имуществом, денежные вклады и др.;
4. другие сведения.
5. фамилия, имя, отчество;
6. пол;
7. образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
8. семейное положение;
9. деловые и иные личные качества;
10. привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
11. дата и место рождения;
12. должность (профессия);
13. зарплата, другие доходы;
14. адрес;

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

6.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами. На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.