Гражданское право

Кто в учреждении ведет обработку персональных данных

  • Щетинина А. В. | начальник службы персонала ГК «Дон-Консультант»

Примеры документов из статьи:

- ЗАЯВЛЕНИЕ на обработку персональных данных

- Положение о персональных данных

- ПРИКАЗ о назначении ответственных за обработку персональных данных

- ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных

- ДОГОВОР Об обработке персональных данных

Определяемся с понятиями

Р оссийское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
  • Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
  • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.

Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.

Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте,
  • военном билете (у военнообязанных),
  • свидетельстве о присвоении ИНН,
  • страховом пенсионном свидетельстве,
  • документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях),
  • в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника,
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2 . Так, собственник не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ,
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия,
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

Кроме этого, работодатель должен соблюдать следующие требования:

  • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ,
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций,
  • передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Необходимые документы

Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных 3 . Согласно ч. 1 ст. 6 Закона «О персональных данных» обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Исключения приведены в ч. 2 ст. 6 Закона «О персональных данных». Так, разрешение не требуется, если «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора». Казалось бы, ТК РФ, являясь федеральным законом, должен соответствовать данному исключению. Однако в Кодексе оговаривается некоторое множество целей обработки персональных данных и дается указание на то, что работодатель сам должен определить объем, содержание и цели обработки данных. Если этот объем превышает объем, приведенный в Трудовом кодексе, то работодателю целесообразно получить разрешение от работника на использование своих данных, то есть перед заключением трудового договора работник должен написать заявление о своем согласии на обработку персональных данных (см. Пример 1). В этом заявлении должны быть указаны следующие сведения:

  1. Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе,
  2. наименование и адрес работодателя, получающего согласие сотрудника,
  3. цель обработки персональных данных,
  4. перечень персональных данных, на обработку которых дается согласие работника,
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных,
  6. срок, в течение которого действует согласие,
  7. порядок отзыва заявления.

Остановимся подробнее на целях обработки персональных данных. В заявлении работнику стоит перечислить все возможные варианты использования его персональных данных. Например, если фамилия работника будет указана в его электронном адресе и у работника будут визитные карточки, то на данные действия необходимо получить его согласие.

Отдельно необходимо определить с работником сроки использования персональных данных после его увольнения. Так как документы сотрудника хранятся в организации в течение 75 лет, цели и характер использования этих данных, а также разрешение на их использование необходимо получить у него заблаговременно.

При этом работник может отказаться написать подобное заявление. Это его право, но целесообразно зафиксировать где-то, что он предупрежден о последствиях отказа 4 . Конечно, это бывает крайне редко, возможны варианты частичного отказа от использования персональных данных. Для того чтобы работники не отказывались от написания подобных заявлений, необходимо перед такой процедурой ознакомить его под роспись с Положением о персональных данных, которое обязательно должно быть на каждом предприятии (см. Пример 2). В данном документе необходимо отразить перечень персональных данных, предоставляемых работниками, на каких носителях и в каких местах они будут храниться, а также указать перечень мер, необходимых для обеспечения безопасности условий хранения, порядок их принятия, и список должностей, ответственных за реализацию указанных мер.

Помимо положения о персональных данных работодатель должен издать два приказа:

  • о назначении ответственных за обработку персональных данных (см. Пример 3),
  • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор (см. Пример 5). В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

Требования к работе на различных носителях

В деятельности юридических лиц образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Остановимся на них подробнее.

Примеры бумажных носителей персональных данных:

  • трудовая книжка,
  • журналы учета трудовых книжек,
  • журнал учета командировок,
  • материалы по учету рабочего времени,
  • личная карточка Т-2,
  • журналы сверки по военнообязанным,
  • входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов,
  • приказы по личному составу.

Закон «О персональных данных» требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных (материальных носителей).

Электронные носители персональных данных – базы данных, содержащие персональные данные работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Постановление № 781 дает исчерпывающее определение технических средств. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Для обеспечения этой безопасности работодатель должен принять ряд организационных мер.

Во-первых, информационную систему необходимо классифицировать в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Решение о присвоении того или иного класса системы определяет специальная организация, имеющая лицензию на данные работы. В зависимости от присвоенного класса работодатель определяет мероприятия по защите используемых персональных данных.

Во-вторых, работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

В-третьих, обеспечить в информационной системе следующие возможности:

  • а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации,
  • б) своевременное обнаружение фактов несанкционированного доступа к персональным данным,
  • в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование,
  • г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
  • д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Подведение итогов

Итак, в организации для работы с персональными данными должны быть следующие документы:

  1. Положение о персональных данных.
  2. Приказ о назначении ответственных за работу с персональными данными.
  3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
  4. Заявления работников на обработку персональных данных.
  5. Договоры (допсоглашения) с работниками об обработке персональных данных.

Кто освобождается от уплаты налога на недвижимость в 2018 году

Закона “О персональных данных“ на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена только: — за отказ в представлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо их несвоевременное представление, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст.

Кто отвечает за защиту персональных данных работников?

Образец листа ознакомления с локальными нормативными актами N п/п Наименование локального нормативного акта Дата Подпись 1 Правила внутреннего трудового распорядка ООО «Черный лес» 03.10.2011 Евстахов 2 Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» 03.10.2011 Евстахов 3 Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 03.10.2011 Евстахов 4 Положение о персональных данных 03.10.2011 Евстахов 5 Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» 03.10.2011 Евстахов Фрагмент журнала ознакомления с Положением о персональных данных N п/п Ф.И.О.
работника Дата ознакомления Подпись 1 Алексеева Диана Николаевна 15.08.2011 Алексеева 2 …


… … 6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов 7 … …
… 8 … … … 9 … … … Примечание.

Защита персональных данных: что надо знать бухгалтеру

6.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.


7.

Ответственность за нарушение норм, регулирующих обработку персональных данных 7.1.

Работники Общества, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Персональные данные

Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие.
Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.4.3.

Как правильно организовать работу с персональными данными?

Указываются случаи, когда согласие не нужно 4 Использование персональных данных Цели использования личной информации сотрудников 5 Обработка персональных данных Условия, соблюдаемые при обработке персональных данных работника 6 Передача персональных данных (доступ к персональным данным) Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ) 7 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных Введение Положения в действие Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с.
90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Положение об обработке персональных данных

КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.

С положением ознакомлены: (Личные подписи всех работников предприятия с расшифровкой и указанием даты ознакомления) В дело № 02-01 Иванова 01.09.2015 Согласие работников Обработка персональных данных может производиться только с согласия работника.

Ответственность

Соответствует ли защита персональных данных действующему законодательству контролируется Роскомнадзором, Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

Несоблюдение порядка защиты личных данных может повлечь ответственность:

  • дисциплинарную,
  • гражданско-правовую,
  • материальную,
  • административную,
  • уголовную.

Дисциплинарная ответственность наиболее распространенный вид наказания, к которому привлекаются сотрудники, имеющие полный доступ к персональным данным, как правило, за разглашение каких-либо сведений.

Решение о наказании принимает работодатель. Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности – в зависимости от тяжести причиненного вреда.

Гражданско-правовая ответственность напрямую связана с нанесением морального вреда (уместно говорить про честь, достоинство и деловую репутацию), в связи с разглашением его персональных данных.

Если данный факт подтверждается в судебном порядке, пострадавшей стороне нарушитель, например, выплачивает компенсацию.

Административная ответственность как за нарушение порядка сбора, анализа, а также хранения персональных данных, так и разглашение информации.

В соответствии со статьей 13.11 Кодекса об административных правонарушениях первое влечет за собой наложением следующих штрафов:

  • на физических лиц – триста-пятьсот руб.,
  • на должностных лиц – пятьсот-тысяча руб.,
  • на юридических лиц – пять-десять тысяч рублей.

За разглашение информации физические лица штрафуются на пятьсот-тысячу руб., должностные – четыре-пять тысяч руб. (статья 13.14 Кодекса об административных правонарушениях).

Уголовная ответственность наступает за нарушение неприкосновенности частной жизни, в том числе при использовании служебного положения.

Мера наказания может быть в виде штрафа, обязательных работ, отстранения от занимаемой должности, лишения свободы на 4- месяцев.

Кто ответственный?

Оператор самостоятельно определяет круг лиц, которые будут нести ответственность за работу с персональными данными. Основная ответственность ложится на работодателя.

В группу допуска к данным в обязательном порядке включаются сотрудники, которые по роду деятельности сталкиваются с персональными данными – например, сотрудники кадровой службы, бухгалтерии, сектора делопроизводства.

Что такое служба защиты персональных данных?

Операторы (крупные холдинги) все чаще создают служебные подразделения, деятельность которых направлена исключительно на работу с личными сведениями сотрудников, так называемые службы защиты персональных данных.

Работа с личными сведениями сотрудников – процесс трудоемкий и сложный, несмотря на свою кажущуюся простоту.

Часто сотрудникам с доступом к персональным данным не хватает времени и знаний для того, чтобы организовать работу в полном соответствии с актуальным законодательством, именно тогда на помощь приходит Служба защиты персональных данных.

В ее обязанности входят разработка необходимых нормативно-правовых актов, контроль за осуществлением сбора, обработки, хранения и передачи личных сведений работников, за соблюдением безопасной защиты сведений.

Личные сведения человека представляют сегодня высокую ценность. Это наиболее актуально в условиях конкуренции между Операторами, в политической среде и экономической безопасности, а разглашение личной информации и распространение персональных данных чаще всего происходит с целью умышленного или скрытого вреда человеку.

Неудивительно, что законодательная ответственность за несоблюдение регламента защиты персональных данных крайне велика. И, несмотря на то, что в нашей стране работа в этом направлении начата сравнительно недавно, прогресс уже ощущается.


Смотрите видео: Как не нарушать закон о защите персональных данных (October 2020).