Документы необходимые предприятию для обработки персональных данных
Оглавление:
- Пакет документов для обработки персональных данных на сайте
- Поддержка экспертов в области защиты персональных данных
- Проблема №1. Введение клиента в заблуждение Вранье
- Внутренние документы по защите персональных данных в организации
- Обработка персональных данных. Полезные документы
- Основные разделы Положения
- Согласие работника на обработку персональных данных
- Защита персональный данных в организации.
- Что такое персональные данные
Пакет документов для обработки персональных данных на сайте
Здравствуйте, хотим выпустить на рынок сайт и мобильное приложение к нему. В рамках их деятельности будет производиться обработка персональных данных при регистрации. ФИО, возраст, адрес и т.д. Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.
Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.
Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности). — Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации.
— Журнал учета машинных носителей информации с персональными данными. Нужно ли что- то еще либо тут что-то лишнее?
19 Сентября 2017, 09:09, вопрос №1755469 Ольга, г. Самара 600 стоимость вопросавопрос решён Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (3) получен гонорар 50% 10,0 Рейтинг Правовед.ru 13423 ответа 4724 отзыва эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г.
Москва Бесплатная оценка вашей ситуации
- эксперт
- 10,0рейтинг
Добрый день, Ольга.По поводу Вашего списка, то из него можно отказаться от:— Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн— Положение об обеспечении безопасности автоматизированной информационной системы организации.Остальные документы нужно оставить.Единственное надо понимать, что:— Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).Это два разных документа, то есть у Вас отдельно должна быть политика конфиденциальности на сайте и отдельно пользовательское соглашение, в соглашении при этом должна быть ссылка на политику конфиденциальности.Какие-либо дополнительные документы не требуются, главное, чтобы обозначенные документы подходили конкретно к Вам.С Уважением,Васильев Дмитрий.
19 Сентября 2017, 09:23 1 0 получен гонорар 50% 3356 ответов 3309 отзывов Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.
Москва Бесплатная оценка вашей ситуации Добрый день, Ольга!Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.ОльгаНе совсем так.
Не «зарегистрироваться», а уведомить Роскомнадзор по соответствующей форме о начале обработки персональных данных.Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.ОльгаПо сути, Вам нужно как минимум два документа:
- Соглашение с пользователями.
- Собственно, само уведомление в Роскомнадзор;
Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности). — Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации. — Журнал учета машинных носителей информации с персональными данными.ОльгаЭто всё в принципе тоже нужно, как раз в уведомлении Вы укажите, каким образом Вы будете обеспечивать сохранность данных и чем это регламентируется.
19 Сентября 2017, 09:23 2 0 10,0 Рейтинг Правовед.ru 14377 ответов 6487 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист Бесплатная оценка вашей ситуации
- 10,0рейтинг
- эксперт
Здравствуйте Ольга.Согласно принятым рекомендациям Роскомнадзора, операторам, осуществляющим обработку персональных данных необходимо подать соответствующее уведомление в Роскомнадзор.Согласно:Министерство связи и массовых коммуникаций Российской ФедерацииФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙПРИКАЗот 30 мая 2017 года N 94Об утверждении Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения3. Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:3.1.1.
Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:3.1.1.1. Для юридических лиц (Операторов): полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных; наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).3.1.1.2.
Для физических лиц: фамилия, имя, отчество (при наличии) физического лица (Оператора); адрес Оператора; данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ; индивидуальный номер налогоплательщика (ИНН, при наличии).3.1.1.3. Для государственных и муниципальных органов (Операторов): полное и сокращенное наименование государственного, муниципального органа; наименование территориальных органов, осуществляющих обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (, , , ОКОП, ).3.1.2.
Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.3.1.3.
Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.3.1.4.
Не рекомендуется указывать в качестве правового основания . Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:- неавтоматизированная обработка персональных данных;- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;- смешанная обработка персональных данных.При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.3.1.7.
Описание мер, предусмотренных и , предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:а) наименование используемых криптографических средств;б) класс средств криптографической защиты информации (СКЗИ).Данную информацию рекомендуется представлять на основании .3.1.8.
Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.3.1.9. Дата начала обработки персональных данных.Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).3.1.10. Срок или условие прекращения обработки персональных данных.Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.3.1.11.
Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.3.1.12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:- наименование стран размещения базы данных;- конкретные адреса местонахождения базы данных.Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе.
Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.3.5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.
19 Сентября 2017, 09:27 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене.
Похожие вопросы 08 Июня 2017, 20:30, вопрос №1662097 15 Декабря 2017, 12:25, вопрос №1846732 31 Мая 2017, 20:39, вопрос №1653568 13 Октября 2016, 17:17, вопрос №1406929 12 Марта 2021, 16:25, вопрос №1932122 Смотрите также
Поддержка экспертов в области защиты персональных данных
При возникновении вопросов вы получите квалифицированную поддержку наших специалистов. Они помогут заполнить документы и разъяснят требования законодательства в области защиты персональных данных. Вам не придется гуглить. Также эксперты проверяют документы, заполненные вами с помощью онлайн-сервиса Б-152*.
*Опция доступная пользователям в тарифе «Премиум».
Проблема №1. Введение клиента в заблуждение Вранье
Тут, наверное, сразу стоит начать с примеров. На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей.
Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки.
В-третьих, я о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.
Внутренние документы по защите персональных данных в организации
Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:
- Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);
- Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.
- Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);
- Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);
- Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;
Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям.
Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. 22 закона «О персональных данных»).
Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д. Читайте также:
Обработка персональных данных.
Полезные документы
Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.Работники не должны отказываться от своих прав на сохранение и защиту тайны.Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:• запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника.
Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;• запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;• следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;• передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;• доступ к персональным данным работников разрешается лишь специально уполномоченным лицам.
Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;• запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих.
Например:• положение о персональных данных;• приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;• обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;• порядок хранения персональных данных.Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.Приведём несколько примеров соответствующих документов.Образец приказа о назначении ответственного за организацию обработки персональных данных:Общество с ограниченной ответственностью «Работодатель»Приказ от 20.03.13 № 55Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»ПРИКАЗЫВАЮ:Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф.
И. О.). Дата, подпись.Образец положения о персональных данных:Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФПРИКАЗЫВАЮ:1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее — Положение).2. Начальнику отдела персонала (Ф.
И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации подроспись.3.
В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).4.
Местом хранения Положения определить кабинет отдела персонала.5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).Должность, дата, подписьС приказом ознакомлены: Должность, подпись, расшифровкаОбщество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)УТВЕРЖДАЮГенеральный директор ООО «Работодатель»ПОЛОЖЕНИЕо персональных данных работников ООО «Работодатель»1.
Общие положения1.1. Положение о персональных данных работников ООО «Работодатель» (далее — Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.1.2.
Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее — Общество).1.3.
Персональные данные работника — любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями.
Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.2. Получение персональных данных2.1.
Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.2.2.
При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником.
По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).2.7.
Личное дело работника состоит из следующих документов:— трудовой договор;— личная карточка формы № Т-2;— копия трудовой книжки;— характеристики, рекомендательные письма;— паспорт (копия);— документ об образовании (копия);— военный билет (копия);— свидетельство о регистрации в налоговом органе (ИНН) (копия);— пенсионное свидетельство (копия);— свидетельство о заключении брака (копия);— свидетельство о рождении детей (копия);— копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);— результаты медицинского обследования (в случаях, установленных законодательством);— документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).2.8.
Документы, поступающие в личное дело, хранятся в хронологическом порядке.3. Хранение персональных данных3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам.
Личные дела находятсяв отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-витном порядке.3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.3.4.
В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:— трудовые книжки;— подлинники и копии приказов (распоряжений) по кадрам;— приказы по личному составу;— материалы аттестаций и повышения квалификаций работников;— материалы внутренних расследований (акты, докладные, протоколы и др.);— копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;— другие.3.5.
Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электроннымбазам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей.
Пароли устанавлива-ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным даннымработников. Пароли изменяются не реже одного раза в два месяца.3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).3.7.
Заместитель генерального директора — директор по персоналу осуществляет общий контроль соблюдения работниками мер позащите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числес настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.4. Доступ к персональным данным4.1. Доступ к персональным данным работников имеют:— учредители Общества;— генеральный директор;— заместитель генерального директора;— финансовый директор;— директор по персоналу;— главный бухгалтер;— юрист;— начальник отдела безопасности;— руководители структурных подразделений (только к данным работников своего подразделения);— специалисты отдела по работе с персоналом и бухгалтерии — к тем данным, которые необходимы им для выполнения конкретных функций.4.2.
Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.5.
Обработка персональных данных работников5.1.
Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.5.2.
Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:— персональные данные являются общедоступными;— персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;— обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;— обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;— обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;— по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.5.3.
Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.5.5.
Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.5.7.
Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.6. Права и обязанности работника в области защиты его персональных данных6.1.
Работник обязуется предоставлять персональные данные, соответствующие действительности.6.2.
Работник имеет право на:— полную информацию о своих персональных данных и обработке этих данных;— свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;— определение своих представителей для защиты своих персональных данных;— доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;— обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.7.
Передача персональных данных7.1.
Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.7.2.
Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.7.4.
Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.8.
Ответственность8.1. Разглашение персональных данных работника Общества, то есть:— передача посторонним лицам, не имеющим к ним доступа;— публичное раскрытие;— утрата документов и иных носителей, содержащих персональные данные работника;— иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, —лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.8.3.
Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст.
68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.Образец обязательства о неразглашении персональных данных:Обязательство о неразглашении персональных данных работников ООО «Работодатель»Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а).
Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).Дата, подписьЕсли возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:Генеральному директору ООО «Работодатель»от (Ф.
И. О.),зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)Согласие на передачу персональных данных третьей сторонеЯ, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:— Ф.
И. О., дата рождения;— номер свидетельства государственного пенсионного страхования;— размер заработной платы;— размер начисленных и уплаченных страховых взносов.Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подписьВАЖНО:Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст.
13.11 КоАП РФ, 137 УК РФ).Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.Николай СОЛИЧЕНКО, эксперт ООО «Smart Solution»
Основные разделы Положения
Положение разбивается на смысловые разделы с учетом требований . Рекомендуется включить в документ следующие разделы:
- список информации и документов, содержащих данные о гражданах;
- защита конфиденциальной информации;
- обязательства нанимателя;
- права и обязанности субъекта;
- ответственность должностных лиц и компании.
- способы и виды работы с информацией о гражданах;
- процедура предоставления личных сведений;
- оформление доступа к сведениям;
- общие сведения;
Согласие работника на обработку персональных данных
Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно. Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.
Защита персональный данных в организации.
Персональные данные граждан относятся к особо защищаемой законом РФ информации.
Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.
Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн. Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.
ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных).
Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями.
Речь идет о таких данных, как:
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- владение недвижимым имуществом, денежные вклады и др.;
- другие сведения.
- фамилия, имя, отчество;
- пол;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- семейное положение;
- деловые и иные личные качества;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- дата и место рождения;
- должность (профессия);
- зарплата, другие доходы;
- адрес;
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76. Таблица 1. Документы, в которых содержатся персональные данные работников N Документ Сведения 1 Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) Анкетные и биографические данные работника 2 Копия документа, удостоверяющего личность работника Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи 3 Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника
6.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами. На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.