Защита персональных данных. Правовое обоснование и необходимость обработки персональных данных в организации

Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.

Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.

Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.

Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.

Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.

Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.

В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.

Приведём несколько примеров соответствующих документов.

Образец приказа о назначении ответственного за организацию обработки персональных данных:

Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:

Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка

Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)

УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»

ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»

1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:

Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.

2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:

Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:

Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.

5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:

Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).

8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.

С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Образец обязательства о неразглашении персональных данных:

Обязательство о неразглашении персональных данных работников ООО «Работодатель»

Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись

Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:

Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)

Согласие на передачу персональных данных третьей стороне

Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись

ВАЖНО:

Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).

Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.

Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.

После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.

Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.

Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"

Администрация компании, решившей обрабатывать персональные данные, должна первым делом уведомить о своих намерениях Роскомнадзор в соответствии с приказом № 706 от 19 августа 2011 года «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерениях) персональных данных» и положений Федерального закона № 152 «О персональных данных» .

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора . Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

Чтобы проблем с Роскомнадзором не возникало, бланк готовится в соответствии с требованиями – пишется от руки или в электронном виде, но на фирменной бумаге юридического лица, с подписью уполномоченного гражданина, указанием контактных данных и перечнем видов ПДн, обработку которых планируется осуществлять.

В России действует следующая классификация:

  • Персональные данные (относящиеся к физическому лицу).
  • Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
  • Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Какие способы обозначил Роскомнадзор?

Роскомнадзор выделил три основных способа обработки информации :

  • Неавтоматизированная обработка сведений конфиденциального характера.
  • Исключительно автоматизированное взаимодействие с передачей данных по сети или без нее.
  • Смешанная обработка персональных данных физических лиц.

Вторая и третья модели обращения с сведениями требуют дополнительного уточнения – какая именно сеть (если вообще предусмотрена) используется для передачи конфиденциальных ведомостей: сеть юридического лица (внутренняя) либо сеть общего пользования Интернет. От указанных выше данных будет зависеть степень защищенность системы и характер угроз.

Законодательные условия

Условиям обработки посвящена . Несоблюдение нижеуказанных условий может стать основанием для санкций со стороны Роскомнадзора, вплоть до отзыва разрешения на работу с ведомостями.

Принципы в организации работы

Определяет несколько основных принципов, которых должны придерживаться операторы на всех этапах работы.

  1. Справедливое и законное основание для сбора и обработки.
  2. Допускаются манипуляции со сведениями для достижения конкретных, заранее указанных целей. Использование ПДн для достижения целей, не совместимых с утвержденными ранее, запрещена.
  3. Базы, содержащие ПДн, собранные с разными целями, не могут быть объединены.
  4. Если в процессе сбора информации оператор получил в распоряжение сведения, не отвечающие целям обработки, он не имеет права их использовать. Намеренное получение избыточных относительно целей данных также недопустимо для оператора.
  5. Оператор берет на себя обязательства по поддержанию точности, достаточности и актуальности. Неполные и неточные данные должны быть отредактированы, уточнены или удалены.
  6. После достижения целей сбора персональной информации физических лиц, сведения должны быть переведены в обезличенную форму или уничтожены оператором.

Справка : Понятие персональных данных в Российской Федерации касается только информации, принадлежащей физическим лицам, юридические лица таких сведений не имеют.

Общий порядок действий


Инструкции

По обеспечению безопасности рабочих мест

  1. Первым делом оператор должен обеспечить изоляцию места, где хранятся ПДн. Согласно положениям профильного закона, ограничение доступа является обязательным условием для организации рабочих мест сотрудников, работающих с ПДн.
  2. Работники, имеющие доступ к ПДн, должны пройти инструктаж по работе с конфиденциальной ведомостями и выполнять функции в соответствии с должностной инструкцией. Кроме этого, сохранность ПДн должна стать личной ответственностью должностных лиц оператора.
  3. Рабочее место необходимо оборудовать так, чтобы свести к минимуму возможность просмотра конфиденциальной информации третьими лицами (это следует учитывать при планировке). Стеллажи с документами стоит размещать вдоль стен, желательно, чтобы сотрудник, ответственный за обработку, имел возможность видеть их как можно чаще.
  4. В месте обработки желательно установить сейф для хранения.
  5. Если обработкой занимается несколько человек, столы следует устанавливать на расстоянии от 1,2 метра, дабы исключить случайное прочтение ПДн, или воспользоваться искусственными перегородками, высотой 1,5-2 метра.
  6. Сотрудника желательно обеспечить специализированным инструментарием (лотками для корреспонденции) для эффективного использования свободного пространства на столе.

По хранению информации

При обработке важно придерживаться принципов и условий работы с такой информацией.


Как видите, при работе с персональными данными следует придерживаться принципов, указанных в ФЗ «О Персональных данных» и распоряжениях Роскомнадзора. Первым делом оператор должен зарегистрироваться у регулятора, затем разработать документацию по работе с ПДн и только затем начинать обработку, придерживаясь принципов и правил.


В век новых технологий и интернета любая информация распространяется с огромной скоростью. Социальные сети здорово «помогают» процессу, делая общедоступными персональные данные гражданина . Чаще всего личную информацию предоставляют при устройстве на работу. Для этого существует закон об обработке персональных данных в организации. Этот закон и обсудим в статье.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь через онлайн-консультант справа или звоните по телефонам бесплатной консультации :

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении , так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях .

Относится ли заработная плата к персональным данным читайте в нашей статье .

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные , если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

  • Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
  • Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств : применение математических операций с этими показателями, а также их корректировка и избавление от них.

Обработкой личных данных называется любое действие, которое осуществляется с предоставленной информацией. Обработкой личных данных считаются следующие действия:

  • сбор;
  • фиксирование;
  • использование;
  • уничтожение.

Правила и порядок работы

Личные данные трудящегося , которые необходимы руководителю, состоят из нескольких пунктов:

  • Информация об образовании.
  • Информация о опыте, а также месте работы, где гражданин прежде трудился и какую должность занимал.
  • Краткая информация о членах семьи и их рабочих местах.
  • Информация об имеющихся заболеваниях и о здоровье в целом.

В ходе обработки данных трудящегося организации (получении, передачи, и прочем применении) работники кадрового отдела должны придерживаться определенных правил:


Зачем нужно согласие?

Согласие на обработку личной информации – это новшество законодательства, которое защищает персональные данные гражданина от нежелательного использования.

Данное согласие необходимо при устройстве на работу, оформления счета в банке, и прочих важных обстоятельствах. Конкретной формы согласия не существует. Его можно оформить в произвольной форме на бланке, который использует предприятие.

Срок, в течение которого согласие будет действительно, указывается непосредственно в самом документе.

Ответственный за персональные данные в организации

Сотрудника, который будет отвечать за получение, обработку и хранение личной информации назначает директор организации.

Также он может назначить определенных лиц, которые будут иметь доступ к персональным данным . Этот документ лучше всего оформить отдельным . Обычно, за всю работу от начала до конца с персональными данными (сбор, обработку и хранение) отвечают следующие лица:

    Образец приказа об ответственных лицах за персональные данные в организации можете скачать .

  1. Руководитель кадрового отдела.
  2. Кадровый инспектор.
  3. Руководитель по персоналу.
  4. Заместитель руководителя по персоналу.
  5. Специалист по работе с персоналом.
  6. Либо допускается введение иной должности.

Учитывая законодательство (Закон №152) сотрудник, который собирает и обрабатывает личные сведения, считается оператором. В данном случае оператором считается руководитель.

Передача и хранение

Хранение важных бумаг, в которых содержатся личные сведения о сотрудниках, происходит в огнеупорных шкафах , т.е. сейфах. Ключи от сейфа должны находиться все время у директора кадрового отдела. Если директор в какой-то из дней отсутствует, то ключи должны быть у его заместителя.

Если необходимо передать личные данные трудящегося, то работник кадрового отдела обязан придерживаться определенных правил :

  • Нельзя предоставлять третьему лицу личную информацию о трудящемся без его согласия в письменном виде.

    • Исключения могут быть в случае, когда информация нужна для предотвращения вреда для здоровья сотрудника и в случаях, которые закреплены законодательством. Кроме этого нельзя разглашать персональные данные сотрудника в коммерческих целях без его разрешения.

  • Если приходится передавать личные сведения сотрудников, то нужно сообщить тем, для кого предназначается эта информация, что данные сведения можно применять только в тех целях, для которых давался запрос.
  • Работник кадрового отдела имеет право доступа исключительно к той информации, которая нужна, чтобы выполнять рабочие обязанности.
  • Работник кадрового отдела не имеет таких полномочий, чтобы выяснять информацию о состоянии здоровья сотрудника.

    • Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей.

Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.

В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных.

При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки. И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время .

Руководитель должен знать об определенных сроках, которые требуются для сохранности некоторой информации. А персональные данные сотрудника необходимо хранить в течение 75 лет .

Узнайте общий порядок организации и перечень действий обработки персональных данных на предприятии из ролика:

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152 .

Данные клиента могут использованы для:

  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152 . Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.

(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация


Медицинская организация «Здоровье». Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно - дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных) . Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N Документ Сведения
1 Анкета, автобиография, личный
листок по учету кадров
(заполняется при приеме на
работу) 		Анкетные и биографические данные
работника
2 Копия документа,
удостоверяющего личность
работника 		Ф.И.О., дата рождения, адрес
регистрации, семейное положение,
состав семьи
3 Личная карточка (форма N Т-2,
утверждена Постановлением
Госкомстата России
от 05.01.2004 N 1) 		Ф.И.О. работника, место его рождения,
состав семьи, образование, а также
данные документа, удостоверяющего
личность
4 Трудовая книжка Сведения о трудовом стаже, предыдущих
местах работы
5 Копии свидетельств о заключении
брака, рождении детей 		Состав семьи, изменения в семейном
положении
6 Документы воинского учета Информация об отношении работника к
воинской обязанности, необходимая
работодателю для осуществления
воинского учета работников
7 Справка о доходах с предыдущего
места работы 		Ф.И.О., данные о сумме дохода и
удержанного НДФЛ
8 Документы об образовании Подтверждают квалификацию работника,
обосновывают занятие определенной
должности
9 Документы обязательного
пенсионного страхования 		Ф.И.О., личные данные
10 Трудовой договор Сведения о должности работника,
заработной плате, месте работы,
рабочем месте, а также иные
персональные данные работника
11 Приказы по личному составу Информация о приеме, переводе,
увольнении и иных событиях,
относящихся к трудовой деятельности
работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных - любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее - Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на
основании каких документов составляется
Положение.
В организациях, где работают государственные
гражданские служащие, дается ссылка на:
- Федеральный закон от 27.07.2004 N 79-ФЗ
"О государственной гражданской службе Российской
Федерации";
- Указ Президента РФ от 30.05.2005 N 609 "Об
утверждении Положения о персональных данных
государственного гражданского служащего
Российской Федерации и ведении его личного
дела";
- нормативные акты субъекта РФ
2 Основные понятия.
Состав персональных
данных работников 		Основные понятия. Даются определения понятий
"персональные данные", "обработка персональных
данных", "использование персональных данных",
указывается срок хранения документов и т.д.
Отдельно должно быть указано, что относится к
персональным данным в конкретной компании с
учетом ее особенностей (данные, используемые в
работе, например сведения о работе на режимных
объектах, об оформлении допуска к
государственной тайне, о соответствии здоровья
для профессий, связанных с тяжелыми и вредными
условиями, и т.д.)
Перечень документов организации, которые
содержат персональные данные
3 Получение
персональных данных
работников 		Процедура получения персональных данных.
Указывается, что данные получают и обрабатывают
на основании письменного согласия работника.
Указываются случаи, когда согласие не нужно
4 Использование
персональных данных 		Цели использования личной информации сотрудников
5 Обработка
персональных данных 		Условия, соблюдаемые при обработке персональных
данных работника
6 Передача
персональных данных
(доступ к
персональным данным) 		Порядок передачи персональных данных внутри
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за
нарушение норм,
регулирующих
обработку и защиту
персональных данных 		Указывают тех, кто несет ответственность за
нарушение правил хранения и использования
персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый - согласиться. Второй - в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • - листе ознакомления с Положением (образец на с. 91);
  • - журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N
п/п 		Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка
ООО "Черный лес" 		03.10.2011 Евстахов
2 Положение об оплате труда, премировании и
социальном обеспечении сотрудников ООО "Черный
лес"
03.10.2011
Евстахов
3 Инструкция по информационной безопасности,
утвержденная Приказом от 15.06.2008 N 1 		03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности
работников за ущерб, причиненный ООО "Черный лес" 		03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Ответственный за организацию работы с персональными данными работников

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Может быть введена и новая должность.



Похожие статьи