Документы содержащие персональные данные

Предлагаем рассмотреть тему: "Документы содержащие персональные данные" с комментариями профессионалов. Мы старались разъяснить все понятным языков и полностью раскрыть тему. Внимательно причитайте статью и, если возникнут вопросы, вы можете их задать в комментариях или напрямую дежурному консультанту.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКА: ОБЩИЕ ПОЛОЖЕНИЯ

Согласно статье 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (Закон о персональных данных) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.

Согласно статье 85 Трудового кодекса (ТК) под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Работодатель имеет право затребовать от работника только ту информацию, которая не относится к его личностным данным. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в организации.

Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека.

Персональные данные могут содержать следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • физиологические особенности человека;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • состояние здоровья и сексуальная ориентация;
  • принадлежность лица к конкретной нации, этнической группе, расе;
  • место жительства;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);
  • финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

Согласно ч. 1 статьи 89 ТК работники имеют право на полную информацию об их персональных данных и обработке этих данных. Соответственно, работодатель обязан ознакомить их с такой информацией.

Согласно п. 8 статьи 86 ТК работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Следовательно, конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах, определяющих порядок обработки и защиты персональных данных работника. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Согласно статье 89 ТК работники имеют право на свободный бесплатный доступ к своим персональным данным, в т.ч. на получение копии любой записи, содержащей такие данные.

Согласно статье 62 ТК по письменному заявлению работника работодатель обязан не позднее 3-х рабочих дней со дня получения от работника заявления выдать ему копии документов, связанных с работой: приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы, выписки из трудовой книжки, справок о заработной плате, о начисленных и фактически уплаченных пенсионных взносах, о периоде работы у данного работодателя и др. Данные копии заверяются надлежащим образом и предоставляются работнику безвозмездно.

Работник также может определить представителя для защиты своих персональных данных. Представителями работников, как правило, являются профсоюзы.

Также работникам предоставляется право доступа к персональным данным, относящимся к медицинским данным, с помощью медицинского специалиста по их выбору.

Работники имеют право требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями требований ТК или иного федерального закона. В случае отказа работодателя исключить или исправить персональные данные работника последний имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения (статья 89 ТК).

В соответствии со статьей 89 ТК по требованию работника работодатель обязан известить всех лиц, которым ранее были сообщены неверные или неполные персональные данные этого работника, обо всех произведенных в них исключениях, исправлениях или дополнениях. Работники имеют право обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

© Обращаем особое внимание коллег на необходимость ссылки на «Субсчет.ру: теория и практика бухгалтерского учета и налогообложения» при цитировании (для on-line проектов обязательна активная гиперссылка)

Источник: http://subschet.ru/SUBSCHET.NSF/docs/AB185FE538A29AD9C32577EB0048868B.html

Документы содержащие персональные данные

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

«Лекторы – ведущие эксперты, непосредственные разработчики законов:
В. В. Витрянский, Л. Ю. Михеева, Е. А. Суханов, А. А. Маковская. Принять участие можно очно/ онлайн или в записи, в любой точке страны!»

Работодатель ведет электронную базу работников, содержит сведения, предусмотренные в карточке по форме N Т-2. После увольнения сотрудника имеет ли право работодатель производить обработку персональных данных работников в автоматизированной системе? Возможно ли хранить документы, содержащие персональные данные работников, в электронной форме в целях выполнения требований законодательства об архивном деле?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
кандидат юридических наук Широков Сергей

Ответ прошел контроль качества

3 апреля 2018 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Читайте так же:  Исковое заявление физического лица

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/work_law/1193967/

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Перечень персональных данных: что к ним относится и при каких условиях?

В начале жизни каждый человек получает имя и свидетельство о рождении. Спустя годы, он получает внутренний паспорт, ИНН, страховое свидетельство и другие документы, в которых содержатся его персональные данные.

Во время получения каждого из вышеперечисленных документов мы соглашаемся на обработку наших персональных данных. И зачастую многие даже не подозревают об этом, так как не читают документы перед тем, как их подписывать.

Читайте так же:  Срок исковой давности по налогам для юридических

Какие сведения являются такой информацией?

Согласно Федеральному закону №-152 ФЗ «О персональных данных» вступившего в силу 27 января 2007 года, целью которого является обеспечение защиты прав и свобод человека, персональными данными (далее ПДн) считается абсолютно любая информация, имеющая отношение к определяемому или определенному физическому лицу.

Этот закон регулирует всяческие отношения, которые возникают во время обработки и хранения персональных данных физических лиц. В законе они именуются не иначе, как субъекты. Обработкой и хранением занимаются государственные и муниципальные органы власти, а также физические и юридические лица.

Главные ПДн, с которыми мы постоянно сталкиваемся в повседневной жизни – это:
  • фамилия, имя, отчество;
  • место жительства или регистрация;
  • дата и место рождения;
  • семейное, социальное или имущественное положение;
  • сведения об образовании, доходах, профессии и пр.

Существует несколько видов ПДн, которые разделяются по степени информативности.

  1. К этому виду относятся специальные категории ПДн, которые включают в себя такие сведения, как: информация о расовой и национальной принадлежности субъекта; его религиозные или философские убеждения; информация о состоянии здоровья и о его интимной жизни. Эта информация может содержаться в анкете, которая заполняется сотрудниками при приёме на работу, медицинских справках и т.д.
  2. Этот вид содержит в себе информацию, которая помогает идентифицировать человека, чтобы получить о нем такие сведения, как: Ф.И.О. субъекта; адрес; сведения о доходах и пр.
  3. К этому виду относятся биометрические сведения человека: анализ ДНК, отпечаток пальцев и ладони, сетчатка глаза, особенности строения тела субъекта.
  4. К этому виду относятся все обезличенные или общедоступные ПДн. Обезличенные ПДн представляют собой информацию, из-за которой невозможно определить её принадлежность к конкретному физическому лицу. Общедоступные – это сведения, которые, согласно законодательству Российской Федерации, не могут быть сокрытыми, то есть не являются конфиденциальными.

Например: данные, доступ к которым был разрешен самим субъектом; сведения и информация о доходах представителей муниципальной и государственной власти.

У граждан

Персональными данными физических лиц считаются:

  • фамилия, имя и отчество;
  • дата рождения;
  • идентификационный номер;
  • место рождения;
  • гражданство;
  • информация о регистрации по месту жительства или месту проживания;
  • свидетельство о смерти или объявлении физического лица умершим, без вести пропавшим, недееспособным или ограничено дееспособным;
  • сведения о семейном положении (о супруге, детях и родителях);
  • информация об образовании;
  • информация о роде занятий;
  • о пенсии;
  • о ежемесячных страховых выплатах по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваниях;
  • о налоговых обязательствах;
  • об исполнении воинской обязанности.

У юридических лиц?

  • Наименование юридического лица.
  • Организационно-правовая форма.
  • Ююридический адрес.
  • Адрес местонахождения юридического лица.
  • ОГРН (основной государственный регистрационный номер).
  • ИНН (идентификационный номер).
  • КПП (код причины постановки на учет).
  • Расчетный счет.

Также в некоторых случаях учитываются ПДн руководителя юридического лица.

Что не входит в ПД?

В настоящее время грань между персональными данными и «не персональными данными» заметно истончилась. В первую очередь это связано с появлением современных технологий и различных гаджетов. С появлением интернета большинство сведений о человеке стали общедоступными, а расплывчатое объяснение в Федеральном законе №-152 «О персональных данных» не дает точного ответа на вопрос «Что такое персональные данные?».

Многие юристы и по сей день спорят о том, что из представленной информации в интернете попадает под это определение, а что можно отнести к «не персональным данным». С полной уверенностью можно сказать, что IP-адрес компьютера не считается ПДн физического лица, так как он не может напрямую идентифицировать человека.

Тоже касается и доменного имени и сетевых адресов. Также прочую техническую информацию невозможно отнести к этой категории.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Что может быть отнесено в данную категорию при выполнении определенных условий?

  1. Номер телефона может иметь отношение к персональным данным лишь в том случае, если он закреплен за конкретным физическим лицом по договору с оператором связи или находится в открытом доступе с указанием имени владельца. В таких случаях номер мобильного относится к прямо или косвенно определенному физическому лицу.
  2. В примерно таком же положении находиться и email адрес.

Большинство людей прописывают в адресе слова и символы, которые ничего не значат. Вследствие этого, по этому электронному адресу невозможно идентифицировать человека.

Некоторые email адреса, такие как «[email protected]» или «[email protected]», также не считаются ПДн, поскольку пользоваться этими адресами могут сразу несколько человек. Если же в электронной почте указаны Ф.И.О. и дата рождения, то в таком случае электронный адрес попадает под категорию персональных данных.
Логин и пароль, в свою очередь, также не попадают под эту категорию, в независимости от того, какая информация указывается в графе логина или пароля.

Страницы в социальных сетях в этом случае имеют определенные сложности, так как многие люди, несмотря на то, что они выставляют свои фотографии, подписываются под другими, зачастую выдуманными, именами.

  • Фотографии и видеозаписи считаются персональными данными только в том случае, если по ним возможно идентифицировать человека. Исключением являются фото и видеозаписи, сделанные на массовых и публичных мероприятиях, на что указывает пункт 1 статьи 152 Гражданского Кодекса Российской Федерации.
  • Защитой, хранением и обработкой персональных данных занимается определенный круг лиц.

    Например: государственные и муниципальные службы, начальник, специалисты отдела кадра и т.д. Следует быть предельно внимательным, вручая свои персональные данные тем или иным людям и уделить достаточное время этому пункту в договорах, перед тем как поставить подпись.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/chto-otnositsya

    Что нужно знать работодателю о защите персональных данных?

    Видео (кликните для воспроизведения).

    Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

    По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

    Читайте так же:  Срок исковой давности по уголовной ответственности

    Хранение личных данных – законодательное регулирование

    • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
    • главой 14 Трудового кодекса РФ.

    Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

    Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

    Обработка персональных данных и их защита

    Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

    Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

    Получение персональных данных

    В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

    1. из документов, предъявляемых при заключении трудового договора;
    2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
    3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
    4. от кадрового агентства, действующего от имени соискателя;
    5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

    Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

    В уведомлении необходимо указать:

    • цели получения персональных данных работника у третьего лица;
    • предполагаемые источники данных (у кого будет запрашиваться информация);
    • способы получения данных, их характер;
    • возможные последствия отказа работодателю в получении информации у третьего лица.

    Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

    Меры защиты персональных данных

    • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
    • установить особый порядок выдачи пропусков и удостоверений работников;
    • использовать технические средства охраны;
    • использовать программно-технический комплекс защиты информации на электронных носителях.

    Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

    Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

    Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

    В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

    Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

    Передача персональных данных

    • даты выдачи и возврата документа,
    • наименование документа,
    • срок пользования,
    • цель выдачи,
    • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

    Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

    Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

    Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

    Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

    Размер ответственности за нарушения

    • на граждан – от 300 до 500 руб.;
    • на должностных лиц – от 500 до 1000 руб.;
    • на юридических лиц – от 5000 до 10 000 руб.

    Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

    В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

    • на граждан – от 500 до 1000 руб.;
    • на должностных лиц – от 4000 до 5000 руб.
    Читайте так же:  Штраф за отсутствие разрешения на оружие

    Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

    Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

    Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

    • или штраф в сумме до 200 тыс. руб.,
    • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
    • или обязательные работы на срок от 120 до 180 часов,
    • или исправительные работы на срок до одного года,
    • или арест на срок до четырех месяцев.

    А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

    • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
    • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
    • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

    или арестом на срок от четырех до шести месяцев.


    Источник: http://www.klerk.ru/boss/articles/449381/

    Персональные данные: «соломка» для кадровика

    «Знал бы, где упаду, соломку бы подстелил», — с таким же ощущением сегодня ждут проверки Роскомнадзора. Однако, к счастью для кадровиков, есть человек, который знает типичные нарушения закона № 152-ФЗ и требования контролирующих органов к кадровой службе. Сегодня Александр Цыкарев расскажет, как избежать нарушений ФЗ-152 и, как следствие, предписаний и штрафов.

    Александр Цыкарев, руководитель проектов по защите информации компании СКБ Контур.

    Места хранения

    Во-первых, нужно определиться с местами хранения личных дел сотрудников и других документов, содержащих персональные данные сотрудников (например, трудовые договора и карточки учета). Необходимо составить перечень таких «хранилищ» и утвердить его приказом по организации.

    Во-вторых, хранить вышеназванные документы следует таким образом, чтобы исключить несанкционированный доступ к ним сотрудников, в чьи функциональные обязанности не входит обработка ПДн, а также посторонних лиц. Для хранения данных документов необходимо использовать запираемые на ключ помещения, ящики, шкафы, сейфы и т д. Конкретных требований к надежности таких «хранилищ» на данный момент нет.

    Избыточная информация

    При работе с ПДн важно обрабатывать только ту информацию, которая необходима для выполнения целей. Избыточные персональные данные (например, подробные сведения о родственниках сотрудника) необходимо удалять путем вымарывания, вычеркивания и т п. Мероприятия, которые можно проводить для удаления ПДн с бумажных носителей, подробнее описаны в Постановлении Правительства № 687.

    Также представители Роскомнадзора негативно относятся к хранению в личных делах копий паспортов, водительских удостоверений (если сотрудник не выполняет обязанности водителя), т.к. их наличие в кадровой службе не регламентировано ни одним законодательным актом. Проще отказаться от использования копий данных документов и пользоваться просто паспортными данными, чем потом доказывать проверяющему законность хранения копий.

    Базы резюме

    Дополнительную проблему создает хранение резюме соискателей. Вообще хранение и обработка таких резюме находится на грани соответствия ФЗ «О персональных данных», что признают и сами представители Роскомнадзора. Поэтому, если хранение резюме не является для вашей организации необходимостью, то проще их удалить и тем самым избежать рисков, связанных с их обработкой. В противном случае необходимо применение дополнительных организационно-распорядительных, а в ряде случаев и технических мер.

    Работающие с персданными

    Сотрудники, в чьи функциональные обязанности входит работа с персональными данными, а это практически все сотрудники отдела кадров, должны быть допущены к обработке персональных данных отдельным приказом «О доступе к персональным данным». В нем указывается Ф.И.О. сотрудника, его должность, можно также указать характер обработки (автоматизированная/неавтоматизированная), но это не является обязательным.

    Помимо этого необходимо вести журнал учета лиц, допущенных к обработке ПДн. Отличие от сведений, представленных в приказе «О доступе к персональным данным», заключается в указании даты начала предоставления доступа к ПДн и даты прекращения данного доступа (например, при увольнении сотрудника или переходе в другой отдел).

    Также с вышеперечисленных сотрудников необходимо взять «Обязательство о неразглашении информации конфиденциального характера», к которой как раз и относятся персональные данные сотрудников.

    Формы приказов, журналов, обязательств обычно разрабатываются сотрудниками, ответственными за защиту ПДн в организации, либо юридическим отделом.

    Одно из самых частых нарушений — использование неучтенных носителей информации (дискет и флешек). Нельзя подключать к компьютерам отдела кадров все подряд флеш-накопители. Согласно требованию Постановления Правительства №781, все отчуждаемые носители информации должны быть учтены в специальном журнале. Т.е. все флешки сотрудников отдела кадров необходимо записать в отдельный журнал, в котором указываются модели и серийные (либо инвентарные) номера.

    Большинство нарушений, выявляемых в ходе проверок контролирующими органами в кадровой службе, связаны с нарушением правил обработки и хранения персональных данных на бумаге.

    Источник: http://kontur.ru/articles/2128

    Документальное обеспечение при организации защиты персональных данных на предприятии

    При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

    Нормативная база

    Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

    Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

    • частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
    • инструкцию пользователя конфиденциальной информации (п. 13);
    • инструкцию администратора данных (п. 13);
    • журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
    • список (перечень) лиц, которые допущены к обработке (п. 13 (в));
    • электронный журнал обращений (п. 15, 16);
    • приказ с перечнем мест хранения (п. 13).
    Читайте так же:  Нарушения нормы процессуального права апелляционной инстанцией

    Политика предприятия в области защиты персональных данных

    До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

    Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

    Внутренние документы регулируют:

    • общие принципы работы;
    • порядок обработки на бумажных носителях;
    • правила работы в информационных системах;
    • особенности хранения;
    • порядок передачи;
    • инструкция для сотрудников;
    • другие моменты.

    Перечень основных локальных документов

    Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

    • положение об обработке персональных данных (ст. 22);
    • план мероприятий для проведения контроля (ст. 18.1);
    • распорядительный акт о назначении ответственных (ст. 22.1);
    • внесение дополнений в должностные инструкции (ст. 22.1);
    • форма согласия на обработку персональных данных (ст. 6 и 9);
    • форма запроса на доступ (ст. 14);
    • формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).

    Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

    Алгоритм утверждения положения о защите персональных сведений

    Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

    Процесс принятия и внедрения локального акта состоит из нескольких этапов:

    • создание проекта;
    • получение согласования от компетентных специалистов компании;
    • введение в действие путем подписания приказа;
    • доведение документа до сотрудников, которые знакомятся с ним под роспись.

    В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

    Основные разделы Положения

    Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

    • общие сведения;
    • список информации и документов, содержащих данные о гражданах;
    • обязательства нанимателя;
    • процедура предоставления личных сведений;
    • способы и виды работы с информацией о гражданах;
    • оформление доступа к сведениям;
    • защита конфиденциальной информации;
    • права и обязанности субъекта;
    • ответственность должностных лиц и компании.

    Перечень информации, относящейся к персональной

    Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

    • обезличенные – по ним нельзя определить конкретное лицо;
    • общие – первичные и основные;
    • специальные – здоровье, религия, раса, нация и т.д.;
    • биометрические – физиология и биология.

    В перечень входит:

    • фамилия, имя, отчество;
    • число и населенный пункт рождения;
    • адрес проживания;
    • информация о документе, удостоверяющем личность;
    • СНИЛС;
    • ИНН;
    • сведения о дипломах;
    • информация о полученных доходах и оплате труда;
    • семейный статус;
    • другое.

    Методы сбора и защиты ведомостей

    Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.

    Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

    Согласно Закону № 152-ФЗ фирма обязана:

    • определить, кто будет отвечать за организацию процесса обработки личных данных;
    • ввести в работу внутренние документы;
    • обеспечивать безопасное применение и использование;
    • контролировать процесс работы с информацией;
    • предотвращать вред, если будет нарушено законодательство;
    • знакомить с правилами работы граждан, принимаемых по трудовому договору.

    Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

    • реализация правил конфиденциальности;
    • пресечение неразрешенного доступа;
    • выявление фактов незаконного доступа и устранение вреда;
    • организация защиты технических средств;
    • запись резервных копий.

    Назначение ответственных за хранение и обработку

    Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

    • начальник кадрового отдела;
    • инспекторы отдела по работе с персоналом;
    • работники бухгалтерии;
    • специалисты отдела информатизации.

    Как обрабатываются данные?

    Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

    • взятие у гражданина согласия;
    • согласованность с поставленными задачами и целями.

    В процессе обработки информации оператор выполняет следующие действия:

    Нарушения положения и ответственность должностных лиц

    Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

    Административная ответственность (КоАП РФ):

    • ст. 13.11 – нарушение порядка работы с информацией;
    • ст. 13.12 – несоблюдение правил защиты;
    • ст. 13.14 – разглашение сведений;
    • ст. 19.5 – невыполнение предписания контролирующего органа.

    В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

    Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

    Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.

    Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

    Инструкция для работников

    В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

    • безопасного использования различных программ и технических средств;
    • применения логинов и паролей;
    • предоставления доступа;
    • антивирусной защиты;
    • работы с носителями;
    • другие моменты.

    Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

    О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

    Видео (кликните для воспроизведения).

    Источник: http://znaybiz.ru/kadry/rezhim/trudovaya-disciplina/zaschita-personalnyh-dannyh.html

    Документы содержащие персональные данные
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here