Цель обработки персональных данных образец. Какова цель обработки персональных данных? Лицензия — получать или не получать
Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.
Что такое обработка персональных данных
Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:
- сбор;
- уточнение;
- систематизация;
- использование;
- удаление;
- хранение.
Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.
Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.
Цели обработки персональных данных на предприятии
Выделяют следующие цели обработки персональных данных в организации:
- Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
- Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
- Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
- Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
- Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.
Что такое согласие на обработку персональных данных
Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке - от имени и фамилии до записей в трудовой книжке.
Персональные данные делятся на 3 категории:
- Общедоступные - основные анкетные данные, включая ФИО, пол, дату и место рождения.
- Биометрические - информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
- Специальные - национальность, вероисповедание, состояние здоровья, судимости, частично - сведения о работе (причины увольнения и др.).
Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.
В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.
В каких случаях нужно согласие на обработку персональных данных
Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.
Ситуации, когда согласие на обработку персональных данных не требуется
Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.
Примерная форма оформления согласия и описание документа
Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:
- должность руководителя и наименование организации, которую он возглавляет;
- ФИО руководителя;
- должность работника;
- ФИО работника;
- дата;
- место составления.
Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.
Возможен ли отказ от обработки персональных данных с позиции закона
По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.
Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.
Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск - такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.
Задавайте вопросы в комментариях к статье и получите ответ специалиста
C чего начать?!
Итак, Вы наконец то решили "разобраться" с защитой персональных данных в Вашей организации. С чего же начать?!
В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.
В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного - подготовка документов по защите персональных данных , контроль за соблюдением требований по защите.
На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации.
Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.
Субъект персональных данных - это человек, персональные данные которого Вы обрабатываете.
Особое внимание следует уделить так называемым специальным категориям персональных данных . К ним относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
В большинстве организаций обрабатываются только персональные данные сотрудников. Как правило, они присутствуют в бумажных документах (трудовых договорах, платежных ведомостях, личных делах, приказах и т.д.) и в электронном виде (программы для расчеты заработной платы, подготовки и передачи отчетности, выписки доверенностей и т.д.).
После этого необходимо определиться с целями обработки каждого вида персональных данных.
Целями могут быть:
- обеспечение трудовых взаимоотношений (для персональных сотрудников);
- обеспечение медицинской деятельности (для персональных данных пациентов в медучреждениях);
- исполнение федеральных законов (например, ФЗ «Об актах гражданского состояния»).
Нельзя обрабатывать персональные данные без конкретной цели! Обрабатываемые персональные данные группируются по целям обработки. Например: «Сотрудники», «Пациенты», «Граждане».
Для обработки персональных данных в организации за исключением ряда случаев, приведенных ниже, требуется согласие субъекта персональных данных. Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения за исключениям ряда случаев, приведенных ниже. Это может быть дополнительный пункт в договоре или заявке, которую субъект подписывает собственноручно, либо специальный документ (в терминах закона "согласие в письменной форме ").
Согласие в письменной форме требуется в следующих случаях:
- обрабатываются специальные категории персональных данных
- обрабатываются биометрические персональные данные
- будет осуществляться трансграничная передача персональных данных
Согласие субъекта не требуется
в случаях:
- обработка персональных данных осуществляется на основании федерального закона (например трудового кодекса);
- персональные данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных (например договор подряда).
На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки : автоматизированный, неавтоматизированный, смешанный.
Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.
Автоматизированная обработка (или обработка в информационных системах персональных данных - ИСПДн) предполагает использование компьютера.
Смешанная обработка предполагает как автоматизированную, так и неавтоматизированную обработку группы персональных данных. Она встречается наиболее часто. По результатам данного этапа необходимо оформить документ «Перечень персональных данных». В нем обязательно нужно указать: группы персональных данных, перечень персональных данных (ФИО, адрес, паспортные данные и т.д.), цели обработки, срок хранения персональных данных, способ обработки и другие сведения на Ваше усмотрение.
Организации, обрабатывающей персональные данные, необходимо зарегистрироваться
в Роскомнадозоре. Для этого необходимо подать «Уведомление об обработке персональных данных
».Уведомление не требуется
в случаях:
- Обрабатываются только персональные данные сотрудников.
- Обрабатываются только персональные данные лиц, заключивших договор с Вашей организацией. И эти персональные данные используются только для исполнения данного договора и никуда не передаются без согласия субъекта персональных данных (лица, заключившего договор).
- Обрабатываются только персональные данные членов общественного объединения или религиозной организации.
- Обрабатываются общедоступные персональные данные.
- Персональные данные используются только для однократного пропуска на территорию организации.
- Обрабатываются персональные данные включающие в себя только фамилии, имена и отчества.
- Персональные данные обрабатываются без использования средств автоматизации.
- Персональные данные обрабатываются в системах, имеющих статус федеральных автоматизированных информационных систем или государственных информационных систем персональных данных.
- Персональные данные обрабатываются в соответствии с законодательством о транспортной безопасности
Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью.
Субъект (человек персональные данные которого обрабатываются в организации) имеет право запросить сведения о наличии в организации его персональных данных и сами персональные данные. Для работы с такими обращениями необходимы документы: инструкция по работе с обращениями субъектов персональных данных, журнал для регистрации таких обращений и набор бланков для ответов субъекту.
Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные
Определяемся с понятием.
Уже более 3 лет российское законодательство при обработке персональных данных работников стоит на страже неприкосновенности частной жизни, семейной и личной тайны, и следит за обеспечением защиты свобод и прав гражданина и человека. Для это было принято довольно много нормативные акты, которые обязывали обеспечить безопасность персональных данных, взаимодействуют с которыми не только физические и юридические лица, но и разные органы власти. К наиболее важным нормативным актам можно отнести:
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
- Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление N 687);
- Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 781).
На заседании Госдумы в декабре 2009 года в третьем чтении был принят законопроект N 284213-5 "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных". В соответствии с этими изменениям из Закона были исключены требования, касающиеся использования криптографических средств защиты персональных данных. Согласно ст. 25 Закон о персональных данных все информационные системы персональных данных, которые были созданы до вступления данного Закона в силу, необходимо было не позднее 1 января 2010 года привести в соответствие с требованиями действующего законодательства. А в законопроекте же предлагалось продлить срок до 1 января 2011 года.
Но как эти изменения относятся к кадровой службе? Что нового содержится в данном Законе и Постановлениях, чего нет в гл. 14 Трудового кодекса РФ? Во-первых, все эти документы определяют порядок работы с персональными данными, а также уточняют и расширяют нормы права, которые приведенные в Трудовом кодексе РФ. Во-вторых, они определяют правила по обеспечению безопасности работы с персональными данными.
Предлагаем разобраться в этом детальнее. При использовании персональных данных работников, для определения объема работ, следует отталкиваться от ключевых понятий, таких как "персональные данные" и "обработка персональных данных".
Согласно Трудовому кодексу РФ персональные данные работников – это информация, касающаяся конкретного работника и тесно связанная с трудовыми отношениями, которая необходима каждому работодателю. А согласно Закону о персональных данных, в котором уточняется и расширяется это понятие, к персональным данным может относиться любая информация, касающаяся определенного или определяемого на основании такой информации физического лица (т.е. субъекта персональных данных), в том числе его имя, фамилия, отчество, дата и место рождения, адрес проживания, образование, профессия, социальное, семейное, имущественное положение, доходы и другая информация. Таким образом, любой работодатель, заключивший трудовой договор с работником, получает всю необходимую информацию, которая относится к персональным данным. Как правила, вся эта информация содержится в следующих, предъявляемых работником при приеме на работу документах. К ним относятся:
- паспорт;
- свидетельство о присвоении ИНН;
- военный билет (если имеется);
- страховое пенсионное свидетельство;
- документы об образовании (в том числе и дополнительное образование, если работник представляет их при приёме на работу или это необходимо для выполнения определенных трудовых функций);
- водительское удостоверении и документы на автомобиль, опять же, если это необходимо в связи с выполнением некоторых трудовой функции работника;
- справка о прохождении медицинского осмотра (медицинская книжка), если это необходимо в связи с выполнением трудовых функций.
Использование предприятием вышеуказанных данных сведений в своей деятельности трактуется законодательством как "обработка персональных данных ". К таким действиям можно отнести следующие: сбор, накопление, систематизация, уточнение, хранение, использование, обновление, изменение, блокирование, обезличивание, уничтожение передача, распространение и другие действия. Обычно все вышеперечисленные операции выполняются на любом предприятии и в любой организации, но в разном объёме.
Особое внимание следует уделить понятию "передача персональных данных ", потому как в связи с ним на работодателя накладываются определённого рода ограничения (ст. 88 ТК РФ). Во-первых, собственник не имеет права:
- без письменного согласия работника сообщать его персональные данные в коммерческих целях;
- без письменного согласия работника сообщать третьей стороне его персональные данные, кроме случаев, когда это необходимо для предупреждения угрозы здоровью и жизни первого и иных случаев, которые предусмотрены законодательством РФ;
- запрашивать в медицинских учреждениях информацию о состоянии здоровья работника, кроме сведений, непосредственно связанных с вопросом о возможности выполнения работником его трудовых функций.
Кроме вышеперечисленного работодатель обязан соблюдать и следующие требования:
- предупреждать лиц, которые получили персональные данные любого работника, что эти данные можно использовать исключительно в тех целях, для которых они сообщались, и требовать от этих лиц подтверждения того, что это правило соблюдено. Все лица, которые получают персональные данные работника, обязаны соблюдать режим конфиденциальности (секретности). Однако на обмен персональными данными работников в установленном законодательством РФ порядке данное положение не распространяется;
- доступ к персональным данным работников разрешать только специально уполномоченным лицам, причём доступ лишь к тем персональным данным, которые необходимы для выполнения конкретных функций;
- осуществлять передачу персональных данных представителям работников только в установленном законодательством РФ порядке и ограничивать всю информацию лишь теми персональными данными, необходимыми для выполнения указанных представителями целей.
Необходимые документы.
Работодатель, для выполнения требований законодательства, обязан соблюдать определённые условия обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона "О персональных данных" обрабатывать персональные данные, притом с согласия субъектов персональных данных, может только оператор. Но есть исключения, приведённые в ч. 2 ст. 6 этого закона, где говорится, что разрешение не требуется, если обработка персональных данных проводится на основании федерального закона, который устанавливает её цель, круг субъектов, персональные данные которых подлежат обработке, и условия получения персональных данных, а также определяет полномочия оператора. Многие полагаю, что Трудовой кодекс РФ, который является федеральным законом, соответствует данному исключению, но в Кодексе оговариваются некоторые цели обработки персональных данных и указывается на то, что работодатель должен сам определить объём, цели и содержание обработки данных. В случае, если этот объём превышает приведенный в Трудовом кодексе, то работодателю перед использованием данных работника необходимо получить его разрешение, т.е. перед тем как заключать трудовой договор с работодателем, работник обязан написать заявление о согласии на обработку своих персональных данных. Как правило, в таком заявлении должны быть указаны:
- Ф.И.О., номер документа, удостоверяющего его личность, сведения о его дате выдачи и выдавшем его органе, а также адрес работника;
- наименование и адрес работодателя, который получает согласие сотрудника;
- перечень персональных данных, согласие на обработку которых даёт работник;
- цель обработки персональных данных;
- перечень действий, связанных с персональными данными, на совершение которых даётся согласие, и общее описание способов обработки персональных данных, которые будет использовать работодатель;
- срок, в течение которого будет действовать согласие;
- порядок отзыва заявления.
Цели обработки персональных данных.
Рассмотрим более детально цели обработки персональных данных. В составленном заявлении работнику необходимо подробно указать варианты, при которых могут использоваться его персональные данные. Например, прежде чем заказывать визитные карточки с фамилией работника, необходимо получить его согласие, так же обстоит ситуация и с присвоением электронного адреса, содержащего фамилию работника. Обязательно надо согласовать и срок использования персональных данных работника после его увольнения.
Документы, содержащие сведения о работнике, организация обязана хранить в течение семидесяти пяти лет, поэтому работодателю стоит заранее получить согласие на их использование, а так же определить объём в котором эти сведения могут быть использованы. За работником сохраняется право на отказ от использования его персональных данных, но учитывая возможные последствия (ч. 2 ст. 18 Закона "О персональных данных"), этот отказ должен быть оформлен письменно. Как правило, данного рода ситуации возникают на предприятиях достаточно редко, но чтобы избежать подобных осложнений работодатель обязан ознакомить работника с Положением о персональных данных, составить документ об ознакомлении с Положением, которые обязательно следует заверить подписью работника. Документ должен содержать полный список персональных данных, представляемых работниками, а также в нём указывается где и каким образом они будут храниться, помимо этого в документе необходимо перечислить меры, принятые для обеспечения безопасного хранения носителей информации, и указать лиц ответственных за исполнение.
Согласно ст. 6 Положения N 687 все сотрудники организации, имеющие отношение к работе с персональными данными, должны быть проинструктированы о правилах работы с персональными данными и об ответственности, сопряженной с этой работой. С такими работниками, как правило, заключается трудовой договор, где отдельными пунктами прописываются их обязанности и ответственность, последующая за нарушение конфиденциальности в отношении разглашения персональных данных других лиц.
Требования, предъявляемые к работе на различных носителях.
В процессе деятельности предприятий, получаемая информация сохраняется на носителях двух видах. Это, как правило, бумажный и электронный документооборот - материальные и электронные носители. К списку материальных носителей относятся: трудовая книжка, журнал учёта трудовых книжек, журнал регистрации входящей и исходящей корреспонденции, журнал регистрации приказов и командировочных листов, табели по учёту рабочего времени и другие документы, напрямую или косвенно связанные с информацией о персональных данных сотрудников. В Законе о персональных данных прописано об обязанностях работодателя, касающихся обеспечения хранения персональных данных на бумажных носителях и их сохранности, а также исключения ознакомления с этими документами лиц, не имеющих разрешения.
К электронным носителям персональных данных относятся различные базы данных, которые содержат в себе персональные данные сотрудников. Эта информация хранится, обрабатывается и передается при помощи технических средств. На основании ст. 19 Закона о персональных данных Правительство Российской Федерации постановило утвердить Положение №781 от 17 ноября 2007г об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Под безопасностью персональных данных на электронных носителях понимается сохранение конфиденциальности, исключение несанкционированного проникновения, это относится и к проникновению, не имеющему злого умысла, которые могут привести к потере, искажению, изменению, копированию и другим действиям с персональными данными.
В целях исключения таких ситуаций, работа с электронными носителями должна быть построена следующим образом:
- На каждом предприятии информационная система должна квалифицироваться по степени важности, обрабатываемому объёму персональных данных и степени угрозы проникновения. Провести классификацию имеет право организация, прошедшая соответствующее лицензирование. После определения класса, руководство предприятия составляет перечень мер, применяемых для защиты имеющихся персональных данных.
- Организация, в целях исключения несанкционированного взлома и незаконного проникновения в помещение, в котором находится информационная система, работающая с персональными данными, должна организовать соответствующую охрану.
- Организовать мероприятия, позволяющие предотвратить случайный или умышленный доступ к персональным данным. А если таковой факт произошёл, своевременно обнаружить проникновение и принять меры к устранению последствий проникновения, и исключить действия, которые могут повлечь утерю, порчу и изменение информации.
- Принять срочные меры по восстановлению утраченной или измененной информации о персональных данных.
- Следить за уровнем защиты информации.
И последнее, для обеспечения работы с персональными данными на должном уровне, на предприятии и в организации должны имеется следующие документы:
- Положение о персональных данных.
- Приказ о назначении ответственных за обеспечение безопасности персональных данных.
- Приказ о назначении ответственных лиц за работу с персональными данными.
- Договоры и дополнительные соглашения с работниками об обработке персональных данных.
- Заявления работников на обработку персональных данных.
Статья 1 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных» устанавливает, что персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных). Оператором может быть в том числе юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
организующее и (или) осуществляющее обработку персональных данных;
определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Статья 85 ТК РФ говорит о том, что персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Согласно статье 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования.
Требование № 1: обработка персональных данных работника может осуществляться исключительно в целях обеспе-чения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Требование № 2: при определении объёма и содержания обрабатываемых персональных данных работника рабо-тодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Требование № 3: все персональные данные работника следует получать у него самого. Если персональные данные ра-ботника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источ-никах и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
Требование № 4: работодатель не имеет права получать и обрабатывать персональные данные работника о его по-литических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Требование № 5: работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.
Требование № 6: при принятии решений, затрагивающих интересы работника, работодатель не имеет права ос-новываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Требование № 7: защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счёт его средств в порядке, установленном ТК РФ и иными федеральными законами.
Требование № 8: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Статья 88 ТК РФ устанавливает следующие требования при передаче персональных данных работника:
запрещено сообщать персональные данные работника третьей стороне без письменного согласия работника. Исключе-ние составляют случаи, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в дру-гих случаях, предусмотренных ТК РФ или иными федеральными законами;
запрещено сообщать персональные данные работника в коммерческих целях без его письменного согласия;
следует предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть ис-пользованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (кон-фиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
передача персональных данных работника осуществляется в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
доступ к персональным данным работников разрешается лишь специально уполномоченным лицам. Указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
запрещается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Таким образом, доступ к персональным данным работников может быть разрешён только специально уполномоченным лицам, которые к тому же имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
В частности, следует разработать ряд локальных документов, которые регулируют работу с получаемыми персональны-ми данными и ответственность лиц, их получающих. Например:
положение о персональных данных;
приказы об утверждении списков лиц, имеющих доступ к персональным данным работников;
обязательства о неразглашении персональных данных лицами, имеющими доступ к персональным данным;
порядок хранения персональных данных.
Работники, которые получают доступ к персональным данным для выполнения своих непосредственных обязанностей, должны быть ознакомлены со всеми необходимыми документами под роспись.
Целесообразным представляется особо оговорить ответственность за неразглашение персональных данных в должност-ной инструкции каждого сотрудника, получившего доступ к персональных данным для выполнения своих служебных обязанностей.
В идеале сотрудники, осуществляющие операции с персональными данными, должны находиться отдельно от других сотрудников. В любом случае их рабочие места (или место) должны быть оборудованы сейфами для хранения соответствующих документов.
Приведём несколько примеров соответствующих документов.
Образец приказа о назначении ответственного за организацию обработки персональных данных:
Общество с ограниченной ответственностью «Работодатель»
Приказ от 20.03.13 № 55
Во исполнение положений Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации начальника отдела персонала (Ф. И. О.). Дата, подпись.
Образец положения о персональных данных:
Во исполнение требований главы 14 ТК РФ, Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», а также в целях приведения локальных нормативных актов ООО «Работодатель» в соответствие с действующим законодательством РФ
ПРИКАЗЫВАЮ:
1. Ввести в действие с 20.05.13 Положение о персональных данных работников ООО «Работодатель» (далее - Положение).
2. Начальнику отдела персонала (Ф. И.О.) в срок до 29.05.13 довести Положение до сведения всех сотрудников организации под
роспись.
3. В срок до 03.06.13 запросить с работников, осуществляющих обработку персональных данных, перечисленных в Положении, обязательство о неразглашении персональных данных работников ООО «Работодатель» (по форме Приложения № 1 к Положению).
4. Местом хранения Положения определить кабинет отдела персонала.
5. Контроль исполнения данного приказа оставляю за (должность, Ф. И. О.).
Должность, дата, подпись
С приказом ознакомлены: Должность, подпись, расшифровка
Общество с ограниченной ответственностью «Работодатель» (ООО «Работодатель»)
УТВЕРЖДАЮ
Генеральный директор ООО «Работодатель»
ПОЛОЖЕНИЕ
о персональных данных работников ООО «Работодатель»
1. Общие положения
1.1. Положение о персональных данных работников ООО «Работодатель» (далее - Положение) разработано в соответствии с ТК РФ, Федеральным законом от 27.06.06 № 152-ФЗ «О персональных данных» и иными нормативно-правовыми актами.
1.2. Положением определяется порядок получения, систематизации, использования, хранения и передачи сведений, составляющих персональные данные работников ООО «Работодатель» (далее - Общество).
1.3. Персональные данные работника - любая информация, относящаяся к конкретному работнику (субъекту персональных данных) и необходимая Обществу в связи с трудовыми отношениями. Сведения о персональных данных работников относятся к числу конфиденциальных (составляющих охраняемую законом тайну Общества).
1.4. При определении объёма и содержания обрабатываемых персональных данных работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
2. Получение персональных данных
2.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные можно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлён об этом и от него должно быть получено письменное согласие. Работодатель обязан сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
2.2. При поступлении на работу претендент заполняет анкету, в которой указывает следующие сведения о себе:
Ф.И.О.;
- пол;
- дату рождения;
- семейное положение;
- наличие детей, их даты рождения;
- воинскую обязанность;
- место жительства и контактный телефон;
- образование, специальность;
- стаж работы по специальности;
- предыдущее(ие) место(а) работы;
- факт прохождения курсов повышения квалификации;
- наличие грамот, благодарностей.
2.3. Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
2.4. При заключении трудового договора лицо, поступающее на работу, предъявляет документы в соответствии со статьёй 65 ТК РФ.
2.5. Работодатель имеет право проверять достоверность сведений, предоставляемых работником. По мере необходимости работодатель может истребовать у работника дополнительные сведения и документы, подтверждающие достоверность этих сведений.
2.6. При оформлении работника сотрудники отдела кадров заполняют унифицированную форму № Т-2 «Личная карточка работника» и формируют личное дело, которое хранится в отделе кадров. Отвечает за ведение личных дел (должность).
2.7. Личное дело работника состоит из следующих документов:
Трудовой договор;
- личная карточка формы № Т-2;
- копия трудовой книжки;
- характеристики, рекомендательные письма;
- паспорт (копия);
- документ об образовании (копия);
- военный билет (копия);
- свидетельство о регистрации в налоговом органе (ИНН) (копия);
- пенсионное свидетельство (копия);
- свидетельство о заключении брака (копия);
- свидетельство о рождении детей (копия);
- копия документа о праве на льготы (удостоверение почётного донора, медицинское заключение о признании лица инвалидом, др.);
- результаты медицинского обследования (в случаях, установленных законодательством);
- документы, связанные с трудовой деятельностью (заявления работника, аттестационные листы, документы, связанные с переводом, дополнительные соглашения к трудовому договору, копии приказов, др.).
2.8. Документы, поступающие в личное дело, хранятся в хронологическом порядке.
3. Хранение персональных данных
3.1. Личные дела хранятся в бумажном виде в папках с описью документов, пронумерованные по страницам. Личные дела находятся
в отделе кадров в специально отведённом шкафу, обеспечивающем защиту от несанкционированного доступа, и располагаются в алфа-
витном порядке.
3.2. Личные дела регистрируются в журнале учёта личных дел, который ведётся в электронном виде и на бумажном носителе.
3.3. После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора, др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
3.4. В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:
Трудовые книжки;
- подлинники и копии приказов (распоряжений) по кадрам;
- приказы по личному составу;
- материалы аттестаций и повышения квалификаций работников;
- материалы внутренних расследований (акты, докладные, протоколы и др.);
- копии отчётов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;
- другие.
3.5. Персональные данные работников также хранятся в электронном виде в локальной компьютерной сети. Доступ к электронным
базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавлива-
ет системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным
работников. Пароли изменяются не реже одного раза в два месяца.
3.6. Кабинет отдела кадров оборудуется (указать, чем, например охранной системой и камерой видеонаблюдения).
3.7. Заместитель генерального директора - директор по персоналу осуществляет общий контроль соблюдения работниками мер по
защите персональных данных, обеспечивает ознакомление сотрудников под роспись с локальными нормативными актами, в том числе
с настоящим Положением, а также истребование с работников обязательств о неразглашении персональных данных.
4. Доступ к персональным данным
4.1. Доступ к персональным данным работников имеют:
- учредители Общества;
- генеральный директор;
- заместитель генерального директора;
- финансовый директор;
- директор по персоналу;
- главный бухгалтер;
- юрист;
- начальник отдела безопасности;
- руководители структурных подразделений (только к данным работников своего подразделения);
- специалисты отдела по работе с персоналом и бухгалтерии - к тем данным, которые необходимы им для выполнения конкретных функций.
4.2. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения генерального директора или заместителя генерального директора.
4.3. Копировать и делать выписки персональных данных работников разрешается исключительно в служебных целях и с письменного разрешения директора по персоналу.
5. Обработка персональных данных работников
5.1. Работодатель не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни (п. 1 ст. 10 закона № 152-ФЗ). В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
5.2. Обработка персональных данных работников работодателем возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательством РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
5.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5.4. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных, полученных о нём исключительно в результате их автоматизированной обработки или электронного получения.
5.5. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается работодателем за счёт его средств в порядке, установленном федеральным законом.
5.6. Работники должны быть ознакомлены под расписку с документами Общества, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
5.7. Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
5.8. Лица, имеющие доступ к персональным данным, подписывают Обязательство о неразглашении персональных данных.
6. Права и обязанности работника в области защиты его персональных данных
6.1. Работник обязуется предоставлять персональные данные, соответствующие действительности.
6.2. Работник имеет право на:
Полную информацию о своих персональных данных и обработке этих данных;
- свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей такие данные, за исключением случаев, предусмотренных законодательством РФ;
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
7. Передача персональных данных
7.1. Работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
7.2. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном законодательством.
7.3. В случае если лицо, обратившееся с запросом, не уполномочено на получение персональных данных либо отсутствует письменное согласие работника, работодатель обязан отказать в предоставлении персональных данных. Лицу, обратившемуся с запросом, выдаётся письменное уведомление об отказе в предоставлении таких данных.
7.4. Работодатель должен предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
7.5. Передача персональных данных работников в пределах Общества осуществляется в соответствии с настоящим Положением.
7.6. При передаче работодателем персональных данных работника его законным, полномочным представителям в порядке, установленном ТК РФ, эта информация ограничивается только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
8. Ответственность
8.1. Разглашение персональных данных работника Общества, то есть:
- передача посторонним лицам, не имеющим к ним доступа;
- публичное раскрытие;
- утрата документов и иных носителей, содержащих персональные данные работника;
- иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, -
лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания (выговора, увольнения по подпункту «в» пункта 6 части 1 статьи 81 ТК РФ).
8.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный проступок, несёт полную материальную ответственность в соответствии с пунктом 7 части 1 статьи 243 ТК РФ.
8.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несёт уголовную ответственность на основании статьи 188 УК РФ.
8.4. Руководитель Общества за нарушение порядка обращения с персональными данными несёт административную ответственность по статьям 5.27, 5.39 КоАП РФ, а также возмещает работнику ущерб, причинённый неправомерным использованием информации, содержащей персональные данные об этом работнике.
С этим Положением следует ознакомить всех сотрудников организации. При приёме на работу нового сотрудника его надо ознакомить с данным документом до подписания трудового договора (ст. 68 ТК РФ). Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Образец обязательства о неразглашении персональных данных:
Обязательство о неразглашении персональных данных работников ООО «Работодатель»
Я, (Ф. И. О., должность), с Положением о персональных данных работников ООО «Работодатель» ознакомлен(а). Обязуюсь не разглашать персональные данные работников, ставшие мне известными в связи с исполнением должностных обязанностей. Об ответственности за разглашение персональных сведений работников предупреждён(а).
Дата, подпись
Если возникает необходимость передачи персональных данных третьим лицам, необходимо получить согласие по следующей форме:
Генеральному директору ООО «Работодатель»
от (Ф. И. О.),
зарегистрированного по адресу (указать), паспорт (серия, номер, кем и когда выдан)
Согласие на передачу персональных данных третьей стороне
Я, (Ф. И. О.), в соответствии с абзацем 1 части 1 статьи 88 ТК РФ настоящим даю согласие ООО «Работодатель» на предоставление в (указать, куда) следующих моих персональных данных:
- Ф. И. О., дата рождения;
- номер свидетельства государственного пенсионного страхования;
- размер заработной платы;
- размер начисленных и уплаченных страховых взносов.
Настоящее Согласие действительно в течение одного года с момента его получения. Дата, подпись
ВАЖНО:
Под обработкой персональных данных понимается любое действие (операция) или их совокупность, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в силу статьи 90 ТК РФ привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 13.11 КоАП РФ, 137 УК РФ).
Представляется необходимым утверждение специальной системы доступа работников отдела кадров, а также руководящего состава к персональным данным.
Также стоит предусмотреть в локальных актах персональную ответственность таких лиц за сохранение конфиденциальности персональных данных.
Работодатель не вправе требовать от претендента предоставления информации о политических и религиозных убеждениях, о частной жизни.
После увольнения работника в личное дело вносятся соответствующие документы (заявление работника, приказ о расторжении трудового договора и др.), составляется окончательная опись и личное дело передаётся в архив организации на хранение.
Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.
Сотрудники, непосредственно участвующие в обработке персональных данных, должны быть не только ознакомлены с данным Положением, но и подписать обязательство о неразглашении персональных данных.
Николай СОЛИЧЕНКО, эксперт ООО "Smart Solution"
ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.
Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.
Что такое персональные данные?
Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.
Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:
- фамилию, имя, отчество;
- адрес проживания;
- электронный адрес;
- номер телефона;
- дата рождения;
- место рождения;
- национальность;
- вероисповедание;
- место работы;
- должность;
- рост;
- и т.д.
Как должен защищать персональные данные отдел кадров
Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.
Итак, кадровым сотрудникам следует:
- Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
- Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
- Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
- Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).
Как избежать претензий со стороны контролирующих органов и сотрудников
Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.
Если компания имеет дело лишь с персональными данными:
- сотрудников, работающих по трудовым договорам;
- работающих по договорам ГПХ;
- и иными физическими лицами.
Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных , как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.
Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:
- уведомить Роскомнадзор о намерении обрабатывать персональные данные;
- подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
- Приказ о назначении ответственного за организацию обработки персональных данных;
- Документ, определяющий политику оператора в отношении обработки персональных данных;
- Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
- Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
- Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
- Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
- Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
- Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
- Документ о классификации информационных систем;
- Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
- Документ, устанавливающий порядок обработки персональных данных работников.
Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:
- Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
- Согласиями на передачу персональных данных провайдеру – от каждого сотрудника
Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.
Добросовестный провайдер:
- По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).
Важно!
Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .
- Ознакомит со своей Политикой в отношении персональных данных клиентов.
- Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
Важно!
Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.
Ответственность за нарушение закона 152-ФЗ
Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:
За что могут штрафовать |
Сумма штрафа |
---|---|
Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. |
от 30 000 до 50 000 руб. |
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) |
от 15 000 до 75 000 руб. |
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) |
от 15 000 до 30 000 руб. |
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. |
от 20 000 до 45 000 руб. |
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. |
от 25 000 до 50 000 руб. |
Что говорят суды о плохо защищенных персональных данных
- В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
- Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).
ТОП-5 нарушений, за которые штрафуют компании и руководителей
Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:
1. Документы оставлены на столе
Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).
Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).
. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.
2. Работнику не выдали документы с его персональными данными
Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.
Штраф : для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).
Пример защиты персональных данных . Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.
3. Забыли обновить данные работника
Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.
Штраф : для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).
Пример защиты персональных данных . Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.
4. Размещение личной информации в общедоступном месте
Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.
Штраф : для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
Пример защиты персональных данных . Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.
5. Сообщение имени, адреса и телефона сотрудника третьим лицам
Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.
Штраф : для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
Пример защиты персональных данных . Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.
***Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.
В частности, компания 1C-WiseAdvice:
- включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
- соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
- добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
- оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.
Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.
Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!
Связаться с экспертом