Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

Содержание
  1. Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
  2. Разберемся с терминами
  3. Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
  4. Чем грозит невыполнение требований по обработке персональных данных
  5. Выводы
  6. Основные нормативные документы, касающиеся обработки персональных данных
  7. Политика обработки персональных данных: как составить документ
  8. Структура Политики обработки персональных данных
  9. 1. Общие цели
  10. 2. Цели сбора персональных данных
  11. 3. Правовые основания обработки персональных данных
  12. 4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  13. 5. Порядок и условия обработки персональных данных
  14. 6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
  15. Размещение Политики обработки персональных данных в офисе и на сайте
  16. Принципы обработки персональных данных, принципы и условия обработки ПНд
  17. О чем говорит закон
  18. Условия обработки персональных данных
  19. Согласие субъекта – тонкости и особенности
  20. Остались вопросы?
  21. Организация работы с персональными данными
  22. Что такое персональные данные
  23. Оператор по обработке персональных данных
  24. Положение о работе с персональными данными
  25. Фрагмент Положения о персональных данных работников
  26. Если есть профсоюз
  27. Ознакомление работников с Положением
  28. Принципы, условия и цели и обработки персональных данных
  29. Что означает обработка
  30. Способы обработки
  31. Цели
  32. Принципы
  33. Согласие
  34. Ответственность организации
  35. Передача и хранение
  36. Ответственность

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» — всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Политика обработки персональных данных: как составить документ

Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.

2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.

Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.  

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.

В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.

В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу. 

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Источник: https://kontur.ru/articles/4871

Принципы обработки персональных данных, принципы и условия обработки ПНд

Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

Ранее наши коллеги из компании «ИТ-ГРАД» уже рассказали, что такое персональные данные (ПНд). Теперь пришло время обсудить требования, предъявляемые законом к обработке ПДн.

О чем говорит закон

Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных»[1]. Рассмотрим наиболее значимые пункты:

  • обработка ПДн должна проводиться на законной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
  • закон требует ограничивать обработку ПДн конкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;

Пример нарушения

Автомобилистам известной сети заправок предложили заполнить анкеты, чтобы оформить дисконтную карту. Позже автомобилисты получили предложение от банка на аккредитацию и размещение средств.

Хотя в анкете не говорилось о том, что банк обратится к клиенту с предложением услуг, в нарушение 15 статьи закона «О персональных данных» и 18 статьи закона «О рекламе».

Поскольку ни один из субъектов не давал согласия на это! Можно считать классическим примером обработки ПДн, несовместимой с целями, заявленными при их сборе.

  • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;

Пример нарушения

Кадровый орган хранит персональные данные сотрудников, включая копии свидетельства о рождении детей, как того требует фонд социального страхования (ФСС), когда предоставляется отпуск по уходу за ребенком, и свидетельства о браке – это нужно для того, чтобы подтвердить социальный статус работника. В этих документах присутствует графа «национальность родителей», «национальность брачующихся». Она заполняется по желанию, но эти сведения относятся к специальной категории персональных данных, требующих согласия на обработку, и наличие такой копии в электронном виде в личном деле работника – два административных правонарушения: обработка ПДн специальной категории без согласия в письменной форме и незаконная обработка персональных данных, поскольку сведения о национальности для достижения целей, предусмотренных 86 статьей Трудового кодекса, работодателю совсем не нужны.

  • следующий принцип обработки – точность, достаточность и актуальность обрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
  • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

Условия обработки персональных данных

Следующий важный момент касается условий обработки персональных данных. Для лучшего понимания мы подготовили перечень, который позволит определить, насколько законной является обработка ПДн.

  • наличие согласия субъекта ПДн. Помните, что наличие согласия субъекта персональных данных – это всегда правильно и хорошо. Причем оно должно быть сознательным, информированным и конкретным. В некоторых случаях одного согласия может быть недостаточно, в дополнение требуется определить цель, которая будет достигаться, и действия, которые будут выполняться с ПДн;
  • обработка ПДн допускается, если это предусмотрено в международном договоре или законе. Это особенно важно понимать, поскольку в России существует масса законов, прямо предписывающих организацию обработки ПДн, начиная от Трудового кодекса, закона «О связи», заканчивая законами «О кредитных историях», «О банках и банковской деятельности»;
  • наличие договора, в котором субъект ПДн выступает выгодоприобретателем/поручителем, или наличие инициативы субъекта заключить такой договор. Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию. В этом случае получать согласие от соискателя на вакантную должность не требуется, поскольку, предоставив резюме, человек выражает стремление заключить трудовой договор и тем самым дает согласие на обработку ПДн. Однако в последнее время Роскомнадзор поясняет что, если сбор резюме производится через веб-сайт, это требует получения от субъекта согласия на обработку ПДн;
  • без согласия могут обрабатываться ПДн, полученные из общедоступных источников, которые подлежат опубликованию или обязательному раскрытию. Несмотря на кажущуюся простоту и очевидность рассматриваемого вопроса, подходить к этому пункту стоит с особой осторожностью. Дело в том, что было несколько громких дел, когда решение верховного и арбитражного судов сводилось к тому, что без согласия доказываемого субъекта ПДн данные, размещенные на общедоступном источнике для неограниченного доступа пользователей, было запрещено обрабатывать. С этим можно соглашаться или не соглашаться, но решение суда для ряда конкретных случаев вступило в законную силу.

Согласие субъекта – тонкости и особенности

Важно понимать, что согласие субъекта дается свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным, сознательным и полученным в любой доказанной форме, если иное не установлено федеральным законом.

Но и здесь не обходится без нюансов.

Как показывает практика, наиболее частым способом выражения согласия являются конклюдетные действия[2], когда, к примеру, посетитель предоставляет паспорт на ресепшен и с документом производят какие-либо действия: ксерокопируют, сканируют, выписывают данные, при этом человек молчит, подтверждая тем самым согласие на обработку ПДн. Помните, что такой способ выражения согласия не предусмотрен законом.

Какие требования необходимо выполнить, если сбор ПДн осуществляется через веб-сайт?

В этом случае регулятор хочет видеть дисклеймер[3], который говорит о согласии субъекта с пользовательским соглашением, определяющим порядок работы с персональными данными и политикой оператора, сведения которого реализуются для защиты этих ПДн.

В некоторых случаях закон предусматривает не просто согласие в любой доказанной форме, а согласие в письменном виде. Закон «О персональных данных» описывает пять таких ситуаций:

  • включение персональных данных в общедоступные источники;
  • обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных;
  • трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов;
  • принятие решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

При этом два случая в законе «О персональных данных» явным образом не прописаны. К ним относятся:

  • распространение персональных данных членов (участников) общественного объединения или религиозной организации;
  • передача ПДн третьим лицам, если условием лицензии на осуществление деятельности оператора является запрет на такую передачу.

Остались вопросы?

Полезный вебинар о переносе ПНд в облако:

Источник.

И обязательно следите за новыми материалами первого блога о корпоративном IaaS. В следующей статье мы рассмотрим зоны ответственности заказчика и облачного провайдера, поговорим об особенностях аутсорсинга обработки ПДн, а также расскажем, на что следует обратить внимание при выборе провайдера, предлагающего услуги по «ФЗ-152».

Источник: https://integrus.ru/blog/it-decisions/printsipy-obrabotki-personalnyh-dannyh.html

Организация работы с персональными данными

Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе РоссийскойФедерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.

Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО «Черный лес»

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Принципы, условия и цели и обработки персональных данных

Принципы, условия и цели и обработки персональных данных. Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет–страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

  1. Автоматизированно.
  2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

  1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
  2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

  1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
  2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
  3. Ведения кадрового делопроизводства, помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
  4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
  5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

О своих сотрудниках руководитель должен получить следующую информацию:

  1. Образование.
  2. Опыт работы, прежняя должность.
  3. Данные о семье и их работе.
  4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

  1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
  2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
  3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
  4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
  5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

  1. Важно соблюдение законности и добросовестности целей и методов обработки.
  2. Соответствие целям, заявленным при сборе.
  3. Соответствие объема и характера обрабатываемой информации, методов целям.
  4. Достоверность сведений.
  5. Недопустимость объединения баз для несовместимых целей.
  6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

  1. Выполнение обработки с разрешения субъектов.
  2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
  3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

  1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
  2. Все выполняется для исполнения договора.
  3. Требуется выполнение статистических и других научных целей.
  4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
  5. Выполняется доставка почтовых отправлений.
  6. Осуществляется профессиональная деятельность журналиста.
  7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

  1. Руководители кадрового отдела.
  2. Кадровые инспекторы.
  3. Руководители по персоналу.
  4. Заместители руководителей по персоналу.
  5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

  1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
  2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
  3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
  4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.

Источник: https://FB.ru/article/339443/printsipyi-usloviya-i-tseli-i-obrabotki-personalnyih-dannyih

Все по закону
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: