Главная - Статьи - Кто на предприятии занимается обработкой персональных данных

Кто на предприятии занимается обработкой персональных данных


Оглавление:

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?


Способ уведомления при этом определяется организацией-оператором обработки данных. Например, это может быть письмо по электронной почте или SMS-сообщение.

  • При сборе данных нужно использовать базу данных, размещенную на территории РФ.
  • Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.

    Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

    Дело в том, что для полного соответствия требованиям и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться.

    Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

    1. документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
    2. не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.
    3. отсутствует большая часть необходимой документации;

    Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Среди документов второго уровня в иерархии можно выделить следующие:

    • Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
    • Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
    • Регламент

    Интервью с экспертом.

    Как работать с персональными данными работников в 2021 году

    Что нужно знать кадровику, чтобы не попасть на штрафы? Что необходимо проверить: Состоит ли организация в реестре Роскомнадзора как оператор, осуществляющий обработку персональных данных в соответствии с требованиями ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    Для этого нужно: зайти на сайт Роскомнадзора, в разделе «Персональные данные» выбрать «Реестр операторов персональных данных» и указать в нем название организации, ИНН и регистрационный номер.

    Если поиск не дал результатов, регистрация отсутствует.

    Есть ли в организации Политика в отношении персональных данных.

    Если есть, проверьте, размещена ли она в открытом доступе на сайте организации. При отсутствии сайта для ознакомления с Политикой в организации к ней должен быть обеспечен неограниченный доступ. Пример: Политику можно разместить перед входом в организацию на информационном стенде.

    Со всеми ли соискателями, работниками и иными третьими лицами подписаны согласия на обработку персональных данных. Если нет, необходимо получить эти согласия. При этом обязательно проверьте, соответствует ли форма согласия на обработку персональных данных требованиям п.

    4 ст. 9 Федерального закона № 152-ФЗ.

    Пример: в согласии могут быть не указаны все третьи лица, которым передаются персональные данные. Или отсутствует перечень действий по персональным данным. Или некорректно указаны или вовсе не указаны условия обработки и распространения персональных данных. Если в организации персональные данные субъектов распространяются в неограниченном кругу лиц, есть ли специальные согласия на такое распространение.
    Если в организации персональные данные субъектов распространяются в неограниченном кругу лиц, есть ли специальные согласия на такое распространение.

    Это новое требование, которое вступило в силу с 1 марта 2021 года. Всем ли работникам, в должностные обязанности которых входит работа с персональными данными, установлены разграничения по соответствующему доступу (полному или ограниченному).

    Необходимо оформить доступ: условия указать в локальном нормативном акте (например, Положении по персональным данным)

    Что нужно знать работодателю о защите персональных данных?

    А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

    1. Ф.И.О. и должность лица, получившего документ с персональными данными работника.
    2. наименование документа,
    3. срок пользования,
    4. даты выдачи и возврата документа,
    5. цель выдачи,

    Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами.

    При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций. Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи.

    Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи.

    При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые. Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

    Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника. В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

    Персональные данные: ответы на популярные вопросы

    Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД.

    Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях; для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии; для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы.
    Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях; для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии; для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы.

    Обычно данное исключение используется для оправдания пропускного режима на территории здания, в виде цели при этом указывают обеспечение безопасности; для осуществления профессиональной деятельности журналиста или СМИ либо научной, литературной или иной творческой деятельности, если при этом не нарушаются ваши права и законные интересы; например, у вас взяли интервью и опубликовали его, указав ваши Ф.И.О. и должность; в статистических или иных исследовательских целях – при условии обязательного обезличивания ПД.

    При этом собранные данные не могут быть использованы в рекламных и агитационных целях. Например, вы прошли опрос, а позже ответы были опубликованы без указания ваших ПД – сторонний читатель не сможет узнать, что ответы на вопросы дали именно вы; обработка общедоступных ПД. Например, вы опубликовали свои данные на сайте по поиску работы – они будут являться общедоступными, поскольку работодатели могут свободно просматривать и обрабатывать их для изучения вашей кандидатуры; обработка ПД, подлежащих опубликованию или обязательному раскрытию; например, чиновник раскрывает и публикует данные о своих доходах.

    Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.

    5 базовых принципов закона о персональных данных, о которых нужно знать

    Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия.

    Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст.

    11 №152-ФЗ). К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

    Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ). С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст.

    19 №152- ФЗ): Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например,

    «Политики в отношении обработки персональных данных»

    , издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д. Эти меры связаны с деятельностью компании.

    Закон требует, чтобы

    «Политика в отношении обработки персональных данных»

    была доступна для всех категорий субъектов персональных данных.

    Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.

    По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные.

    Проверка Роскомнадзора: как подготовиться работодателю

    Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных.

    На это Роскомнадзор тоже обращает внимание. Хранение и уничтожение персональных данных Срок хранения информации определяет человек, когда подписывает согласие на их обработку.
    Работодатель обязан уничтожить персональные данные, если:

    1. истек срок хранения, указанный в согласии;
    2. достигнуты цели;
    3. данные обработали неправомерно, например с другими целями.
    4. субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.
    5. сам субъект попросил уничтожить персональные данные;

    В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

    Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях. Информационные системы Курсы для кадровика Повышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы Посмотреть программы Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных.

    При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

    Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

    Что относится к персональным данным.

    Кому их можно передавать, как хранить и уничтожать

    Краткий чек-лист:

    1. Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.
    2. Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
    3. Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
    4. Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
    5. Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
    6. Отвечать на обращения субъектов и предоставлять им всю информацию.

    Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

    1. сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
    2. сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
    3. сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
    4. сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и . Так можно избежать их утраты и несанкционированного доступа к информации.
    5. обработка персональных данных, находящимся в открытом доступе;
    6. персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;

    Во всех остальных случаях — регистрация обязательна!Не забудьте, что в Делис Архив действует — дарим полезные подарки действующим и будущим клиентам!

    : Теги: Пост написан пользователем Это авторский материал.

    5 шагов по организации учета и хранения персональных данных

    Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен. 2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ); 3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п.

    4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных).

    К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных).

    А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных). Не во всех случаях требуется согласие работника на обработку персональных данных.

    Например, в том случае, если данные получены (п.

    2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз.

    1 Разъяснений Роскомнадзора): из документов (сведений), предъявляемых при заключении трудового договора; по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст.

    69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012); в объеме, предусмотренном унифицированной формой № Т-2, в том числе

    Новое о персональных данных

    Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора. Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия.

    Где ее публиковать – пока непонятно.

    Придется ждать разъяснений Роскомнадзора.

    Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ. Работник может в любой момент потребовать запретить распространение своих ПД.

    Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению.

    Действие согласия прекращается с момента получения работодателем такого требования. Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст.

    10.1 Закона № 152-ФЗ. Можно и обратиться в суд.

    Распространение данных должно прекратиться:

    1. или в течение трех рабочих дней с момента вступления решения суда в законную силу.
    2. в течение трех рабочих дней с момента обращения;
    3. или в срок, указанный в постановлении суда;

    Положения ст.

    10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти. К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п.

    4 ч. 2 ст. 22 Закона № 152-ФЗ).

    Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены.

    Пока шаблон согласия не утвержден, приведем образец с учетом этих требований.

    Об изменениях будем держать вас в курсе. Ректору ФГБОУ ПО

    Персональные данные сотрудника: как с ними работать

    На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

    Для этого ему обязательно нужно заручиться согласием соискателя. Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу.

    На этом этапе, согласно , запрашиваются:

    1. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
    2. трудовая книжка;
    3. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
    4. паспорт или иной документ, удостоверяющий личность;

    На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту.

    В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно. При этом важно, чтобы:

    1. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
    2. перечень персональных данных строго соответствовал тому, что передается в банк;
    1. соответствующая форма и система оплаты труда прописана в коллективном договоре ().
    2. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
    3. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;

    Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

    Меры по защите персональных данных сотрудников

    Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизводство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

  • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
  • утверждение перечня документов, содержащих персональные данные;
  • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
  • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений.

    Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

  • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
  • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
  • утверждение порядка уничтожения информации;
  • выявление и устранение нарушений требований по защите персональных данных;
  • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
  • Среди мер по внешней защите персональных данных следует выделить такие:

    1. введение пропускного режима, порядка приема и учета посетителей;
    2. внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

    Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных

    3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

    Телефонный номер – это не характеристика человека, а атрибут аппаратного средства связи, и значит, персональными данными не является. По моей практике участия в проверках Роскомнадзора, представители службы не требуют получения согласия на обработку номера телефона без привязки к другим данным.

    Что говорит судебная практика? Житель города Белгорода обратился в суд (решение Октябрьского районного суда г.

    Белгорода от 12 сентября 2019 г.

    по делу № 12-393/2019) с жалобой на размещение его телефонного номера в Интернете компанией ООО «Яндекс Справочник». Роскомнадзор не увидел в этом нарушений, так как номер телефона был опубликован без указания его владельца. Суд согласился с регулятором в том, что номер телефона не относится к персональным данным, так как по нему нельзя идентифицировать человека.

    Между тем, суд в Москве, рассматривая подобный вопрос, вынес другое решение (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу №12-973_2019).

    Гражданину поступали звонки от коллекторской компании без его согласия.

    При этом других данных, кроме номера телефона, у взыскателей о человеке не было.

    Суд посчитал, что такая обработка персональных данных коллекторской компанией, а именно номера телефона, является нарушением .

    Выводы Роскомнадзор придерживается позиции, что номер телефона без привязки к другим данным не относится к персональным данным, а значит, не нужно получать согласие его владельца на обработку данных. Однако правоприменительная практика говорит о том, что стоит заручиться согласием субъекта на обработку таких данных.

    Оно может быть оформлено в любой форме, позволяющей подтвердить факт его получения (например, галочка на сайте).

    • Нужно ли согласие субъекта персональных данных, если они обрабатываются в рамках исполнения договора?

    Часто компании задаются вопросом, нужно ли отдельно получать согласие, если персональные данные обрабатываются с целью выполнения обязательств по договору, или договор сам по себе является правовым основанием для обработки.

    Персональные данные сотрудников

    Ограничения устанавливаются согласно статье 88 ТК РФ:

    1. запрещено делать запрос о здоровье работника у медицинского учреждения.
    2. передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
    3. доступ к данным получают только специально уполномоченные лица;
    4. известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;

    Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего).

    Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности. В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.