Оператор обработки персональных данных

Содержание

Кто является оператором персональных данных?

Кто является оператором персональных данных?

Согласно ст. 3 Закона N 152-ФЗ оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона N 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона N 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание! Сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических — от 15 000 до 30 000 руб.

К сведению. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Как стать оператором персональных данных в реестре Роскомнадзора

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан. КонсультантПлюс ПОПРОБУЙТЕ БЕСПЛАТНО Получить доступ

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

  • самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
  • определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

  • разъяснять субъекту ПД, какие данные и для чего собирают, а также получать его предварительное согласие на обработку личной информации. Такое согласие запрашивают в письменной форме: человеку предлагают подписать специальную бумагу, где уточняется, что сбор информации производится по правилам закона № 152-ФЗ и она будет соответствующим образом храниться, использоваться, а позже — уничтожаться. Хотя чаще всего согласие «прячется» в самом конце подписываемого соглашения и выглядит как галочка, рядом с которой надо поставить свою подпись, существует и специальная форма такого согласия. Вот бланк, которым предлагает пользоваться Роскомнадзор (скачать форму можно в конце статьи):
  • разработать и публично представлять политику в отношении обработки ПД. Обнародовать такой документ можно любым удобным для компании способом, но чаще всего это делается с помощью интернета — на странице организации просто публикуют политику без сокращений;
  • обеспечивать меры защиты от неправомерного или случайного доступа к ПД, их уничтожения, изменения, блокирования, копирования, распространения. Как правило, речь идет о технических и организационных мерах — установление паролей и специальных программ, гарантирующих сохранность информации, оперативное устранение последствий хакерских атак, иные мероприятия по обеспечению безопасности;
  • уничтожать записи, если субъект ПД докажет, что сведения получены незаконным путем либо не являются необходимыми для получения заявленной цели. Согласно статье 21 закона N152-ФЗ, уничтожается информация только после обращения лица, чьи данные обрабатывались с нарушениями, либо его представителя. Запрос обязательно подается в письменной форме, и отреагировать на него оператор должен в сроки, прописанные в законе. Рекомендованный образец такого обращения доступен на сайте Роскомнадзора;
  • блокировать доступ к сведениям по запросу уполномоченного органа либо субъекта ПД (его представителя). Это не значит, что оператор полностью удаляет имеющуюся информацию, но он не может ею пользоваться.

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

  • работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
  • компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
  • общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
  • организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
  • любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
  • системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
  • граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687;
  • организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346. Бесплатно скачать нужный документ можно и в конце этой статьи.

Роскомнадзор рекомендует подавать уведомление на бланке организации, на бумаге либо в электронном варианте. Бумажный вариант надо будет заполнить, подписать и отправить в территориальный орган Роскомнадзора (по почте или отнести лично). Электронный документ можно оформить прямо на сайте ведомства — в разделе «Электронные формы заявлений».

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

  • полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
  • цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
  • категории ПД, которые будут обрабатываться;
  • субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
  • основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
  • описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
  • сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
  • информация о шифровальных (криптографических) средствах;
  • дата начала, а также условия и сроки прекращения обработки ПД;
  • сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
  • сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119.

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям PPT.ru доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ, который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ. По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Типовая форма согласия на обработку персданных

Форма письма о внесении изменений в сведения об операторе

Подготовить документы по персданным для сайта онлайн

Информация о персонале

Каждая организация использует собственные показатели о персонале, отображающие специфику ее деятельности и традиции. Вместе с тем накоплен опыт работы по сбору обобщенных и наиболее распространенных показателей статистики человеческих ресурсов.

В системе управления персоналом организации внедрен ряд унифицированных видов документации:

  • плановая: плановые задания по кадровым вопросам, заявки на молодых специалистов, плановые расчеты по численности, по оплате труда;

  • первичная учетная: учет труда и зарплаты;

  • отчетно-статистическая: численность сотрудников, баланс рабочего времени, средняя зарплата, производительность труда, высвобождение работников;

  • социальное обеспечение: пенсии, пособия, льготы, социальное страхование;

  • организационно-распорядительная: акты, письма, докладные записки, приказы, правила, решения.

Для разработки оперативного плана работы с персоналом СУП (кадровые службы) с помощью специально разработанных анкет собирают следующую информацию:

  • сведения о постоянном составе персонала: имя, отчество, фамилия, место жительства, возраст, время поступления на работу и др.;

  • данные о структуре персонала: квалификационная, половозрастная, национальная структура; удельный вес инвалидов, удельный вес рабочих, служащих, квалифицированных рабочих и др.;

  • текучесть кадров;

  • потери времени в результате простоев, по болезни;

  • данные о продолжительности рабочего дня: полностью или частично занятые, работающие в одну, несколько или ночную смену, продолжительность отпусков;

  • заработная плата рабочих и служащих: структура ЗП, дополнительная заработная плата, надбавки, оплата по тарифу и сверх тарифа;

  • данные об услугах социального характера, предоставляемые государством и общественными организациями: расходы на социальные нужды, выделяемые в соответствии с законами, тарифными договорами, добровольно.

Данные, полученные через анкеты, служат как производственным целям, так и целям кадрового планирования.

Основные требования к информации о персонале:

  • актуальность – сведения должны быть свежими, оперативными и своевременными, то есть предоставляться без опозданий;

  • простота – информация должна содержать столько данных и только в том объеме, сколько необходимо в данном конкретном случае;

  • наглядность – сведения должны быть представлены таким образом, чтобы можно было быстро определить главное, избежать многословия, т.е. рекомендуется использовать таблицы, график, цветное оформление материала;

  • однозначность – сведения не должны быть неясными, их толкование должно быть однозначно;

  • сопоставимость – сведения должны приводиться в сопоставимых единицах и относиться к поддающимся сравнению объектам как внутри организации, так и вне ее;

  • преемственность – сведения о кадрах, подаваемые за разные временные периоды, должны иметь одну методику подсчетов и одинаковые формы представления.

Трудовой потенциал работника

Для определения возможностей участия человека в экономических процессах обычно используются понятия рабочей силы и челове­ческого капитала. Под рабочей силой принято понимать способность человека к труду, т.е. совокупность его физических и интеллектуальных данных, которые могут быть применены в производстве. Рабочая сила характеризуется, как правило, показателями здоровья, образования и профессионализма. Человеческий капитал рассматрива­ется как совокупность качеств, которые определяют производитель­ность и могут стать источниками дохода для человека, семьи, предпри­ятия и общества. Такими качествами обычно считают здоровье, при­родные способности, образование, профессионализм, мобильность.

Границы участия работника в производственном процессе, способность достигать в заданных условиях определенных результатов и совершенствоваться в процессе труда образуют трудовой потенциал работника.

Трудовой потенциал – совокупность качеств человека, определяющих границы его участия в трудовой деятельности и возможности развития в процессе труда.

Компоненты трудового потенциала должны характеризовать:

  1. Психофизиологические возможности участия работника в общественно-полезной деятельности.

  2. Возможности нормальных социальных контактов.

  3. Способности к генерации новых идей, методов, образов, пред­ставлений.

  4. Рациональность поведения.

  5. Наличие знаний и навыков, необходимых для выполнения определенных обязанностей и видов работ.

  6. Предложение на рынке труда.

Приведенным аспектам соответствуют следующие компоненты трудового потенциала:

  1. Здоровье.

  2. Нравственность и умение работать в коллективе.

  3. Творческий потенциал.

  4. Активность.

  5. Организованность.

  6. Образование.

  7. Профессионализм.

  8. Ресурсы рабочего времени.

Показатели, характеризующие эти компоненты, могут относить­ся как к отдельному человеку, так и к различным коллективам, в том числе к персоналу организации населению страны (табл. 1).

Таблица 1.

Эффективное управление персоналом организации невозможно без отработанной системы информации, которая должна давать исчерпывающие сведения о работниках, служить исходной базой для их расстановки, перемещения, и наиболее эффективного использования.

Поэтому кадровые службы регулярно собирают различные данные о состоянии персонала организации и проводят их детальный анализ. Такие данные получили название статистика человеческих ресурсов. В ней содержится информация о различных сторонах управления персоналом — производительность, издержки на рабочую силу, профессиональное обучение, динамика рабочей силы, аттестация сотрудников, резерв на продвижение кадров и др. Каждая организация использует собственные показатели, отображающие специфику ее деятельности и традиции. Вместе с тем накоплен опыт работы по сбору обобщенных и наиболее распространенных показателей статистики человеческих ресурсов.

В системе управления персоналом внедрены некоторые унифицированные виды документации:

• плановая (плановые задания по кадровым вопросам, заявки на молодых специалистов, плановые расчеты по численности, по оплате труда);

• первичная учетная (учет труда и зарплаты);

• отчетно-статистическая (численность сотрудников, баланс рабочего времени, средняя зарплата, производительность труда, высвобождение работников);

• социальное обеспечение (пенсии, пособия, льготы, социальное страхование);

• организационно^распорядительная (акты, письма, докладные записки, приказы, правила, решения).

Кадровые службы в обязательном порядке заводят на сотрудников личные дела. В соответствии с вышеприведенной классификацией составляются проекты приказов (о приеме на работу и увольнении, о переводе и перемещении, о награждении), план (отчет) подготовки и повышения квалификации персонала, справки о состоянии трудовой дисциплины, данные текучести кадров, график отпусков, предложения по формированию резерва кадров на выдвижение, план по численности работников с указанием подразделений и категорий, штатное расписание, табели учета рабочего времени, трудовые договоры (контракты), графики аттестации сотрудников, направления для трудоустройства и т.д.

Сведения о персонале можно представить в виде схемы (рис. 10).

Рис. 10. Информация о персонале.

Информация о персонале включает совокупность всех оперативных сведений, а также их обработку для кадрового планирования.

К ее оформлению предъявляется ряд требований:

• простота — информация должна содержать только те данные и в том объеме, которые необходимы в конкретном случае;

• наглядность — сведения должны быть немногословны, т.е. представлены таким образом, чтобы можно было быстро определить главное, для этого используют таблицы, графики, цветное оформление материала;

• однозначность — сведения не должны допускать двоякого толкования, они формируются в соответствии с требованиями грамматики и логики;

• сопоставимость — сведения приводятся в сопоставимых единицах и относятся к поддающимся сравнению объектам как внутри организации, так и вне ее;

• преемственность — сведения о кадрах за разные временные периоды должны иметь одну методику подсчетов и одинаковые формы представления;

• актуальность — сведения должны быть свежими, предоставляются оперативно и своевременно.

Использование персонального компьютера позволяет работнику отдела кадров любого уровня (при соблюдении принципа санкционированного доступа) оперативно получать необходимую информацию, составлять статистическую отчетность, прогнозировать потребность в движении кадров, выводить информацию как на экран, так и на печатающее устройство, дополнять различные формы документов, вести и корректировать информационную базу по кадрам.

Вопросы для повторения^ и обсуждения

1. Каковы основные задачи правового обеспечения системы управления персоналом?

2. Что относится к важнейшим аспектам централизованного регулирования трудовых отношений?

3. Что включает в себя сфера локального регулирования трудового процесса?

4. Какие системы документации ведутся в кадровой службе?

5. Какие требования предъявляются к информации о персонале?

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

  • с какой целью вы собираете персональные данные;
  • не собираете ли вы их больше, чем нужно для ваших целей;
  • сколько храните персональные данные;
  • есть ли политика обработки персональных данных;
  • собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

  • Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
  • Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Должностная инструкция ответственного за организацию обработки ПДн.
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Регламент предоставления доступа субъекта к его ПДн.
  • Регламент расследования инцидентов.
  • Приказ о допуске работников к обработке ПДн.
  • Регламент взаимодействия с регуляторами.
  • Уведомление РКН и пр.
  • Форма поручения обработки ПДн.
  • Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.
Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ
Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.
Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.
Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.
Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.
Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
Источник: п.3, статья 6, 152-ФЗ
Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Источник: п.3, статья 6, 152-ФЗ
За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ.
В поручении также важно прописать обязанность обеспечения защиты персональных данных:
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119
Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

  • тип персональных данных (специальные, биометрические, общедоступные и иные);
  • кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
  • количество субъектов персональных данных – более или менее 100 тыс.
  • типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.
С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119.
Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.
Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.
Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).
Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком «+» обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

  • заинтересован продать побольше сертифицированных СЗИ;
  • будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.
В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:
Обеспечение безопасности персональных данных достигается, в частности:

3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:

использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Что общего у этих формулировок? Правильно – в них нет требования использовать сертифицированные средства защиты. Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.
Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:
Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России.
Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

  1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
  2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
  3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
  4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ.

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.
KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.
Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Обязанности оператора при обработке персональных данных

Andrey_Popov / Shutterstock.com

Екатерина Добрикова

Работа с персональными данными накладывает на оператора ряд обязанностей. Рассмотрим несколько наиболее существенных из них.

1

Уведомить Роскомнадзор о начале обработки персональных данных (ст. 22 закона о персональных данных). Такое уведомление необходимо направить в ведомство до начала обработки данных, указав в нем:

  • наименование (ФИО), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • меры защиты персональных данных;
  • ФИО физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дату начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • данные о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • информацию о месте нахождения базы данных информации, содержащей персональные данные россиян;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ (речь, в частности, идет об уровнях защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности, требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, а также о требованиях к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных).

При этом есть ситуации, когда уведомлять Роскомнадзор об обработке персональных данных не нужно. Это, например, обработка работодателем данных работников, получение оператором данных клиента при заключении с ним договора (если эта информация не предоставляется третьим лицам без согласия на то субъекта и используется исключительно для исполнения указанного договора), обработка общедоступных персональных данных, оформление лицу однократного пропуска на территорию оператора, использование только ФИО субъекта и др. (ч. 2 ст. 22 закона о персональных данных).

2

Обеспечить конфиденциальность персональных данных. Это значит, что распространять их без согласия на то субъекта нельзя (ст. 7 закона о персональных данных). Данная обязанность лиц, получивших доступ к персональным данным, является одной из основных. В частности, при передаче персональных данных работников работодатель обязан:

  • не сообщать персональные данные работника третьей стороне без его письменного согласия (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других предусмотренных законом случаях – например, при передаче данных в ФСС, ПФР, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ и др.);
  • предупредить лиц, получающих персональные данные работника, что эта информация может быть использована лишь в целях, для которых она сообщена – более того, работодатель даже может требовать от таких лиц подтверждения того, что это правило соблюдено;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под подпись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, причем они должны иметь право получать лишь те данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • ограничивать информацию, передаваемую представителям работников, лишь теми данными работника, которые необходимы для выполнения указанными представителями их функций (ст. 88 ТК РФ).

3

Принимать меры для обеспечения безопасности персональных данных (ст. 18.1 закона о персональных данных). Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 закона о персональных данных). Такое лицо обязано осуществлять внутренний контроль за соблюдением оператором и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

БЛАНКИ

Должностная инструкция ответственного за организацию обработки персональных данных
Уведомление об обработке персональных данных
Политика обработки персональных данных
Положение о защите, хранении, обработке и передаче персональных данных работников
Другие бланки

При этом политику обработки персональных данных организация должна сделать публичной (ч. 2 ст. 18.1 закона о персональных данных). Наиболее оптимальным способом является размещение документа на сайте оператора. Но в том случае, когда это невозможно, достаточно установить «кармашек» с политикой на бумажном носителе в любом доступном для посетителей организации месте. Исключение составляют операторы, собирающие персональные данные непосредственно через Интернет, – им необходимо опубликовать политику именно на сайте и обеспечить возможность доступа к указанному документу. На официальном сайте Роскомнадзора можно ознакомиться с рекомендациями по составлению политики в отношении обработки персональных данных.

Не стоит путать политику, распространяющуюся в основном на третьих лиц (контрагентов, клиентов и др.), с Положением о защите, хранении, обработке и передаче персональных данных работников – этот документ в отличие от политики является локальным нормативным актом, поэтому делать его публичным не нужно, а вот ознакомить с ним под роспись работников следует обязательно (ст. 22 ТК РФ).

О том, с какими проблемами может столкнуться оператор при соблюдении требований о локализации персональных данных и как их наиболее эффективно их решить, читайте в нашем материале «Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса».

4

Соблюдать требования по локализации персональных данных россиян. С 1 сентября 2015 года все операторы при сборе персональных данных обязаны обеспечить их обработку с использованием баз данных, находящихся в России (ч. 5 ст. 18 закона о персональных данных). Так называемая локализация персональных данных поначалу вызвала большой резонанс среди специалистов и операторов – требования закона были сформулированы таким образом, что у экспертов возникло немало вопросов. Среди них отсутствие ясности, на какие именно персональные данные будет распространяться данное требование, каких операторов это затронет, допускается ли обработка персональных данных одновременно на российском и иностранном сервере, как определить гражданство субъекта и т. д. На большую часть этих вопросов Роскомнадзор ответил еще до вступления новых требований закона в силу. Так, например, ведомство предоставило операторам право самостоятельно решать вопрос определения гражданства лица, чьи данные обрабатываются, либо применять требование о локализации к персональным данным всех субъектов. Кроме того, Роскомнадзор уточнил, что в том случае, когда при сборе персональные данные были записаны в российскую базу данных, в дальнейшем они могут обрабатываться и в электронной базе, находящейся за пределами страны.

И в политике обработки персональных данных, и в Положении о защите, хранении, обработке и передаче персональных данных работников следует прописать, что при сборе персональных данных оператор обязуется обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с использованием баз данных, находящихся на территории России, а также указать место нахождения такой базы данных.

Главная >> Сведения об образовательной организации >> 3. Документы >> Положения и Регламенты >> Регламент работы с персональными данными

Рассмотрено на заседании Скачать в PDF (250.52Kb)
педагогического совета
Протокол № 1 от 28.08.2015 г.

УТВЕРЖДАЮ
Директор Панаевской школ интерната
Е.В. Дубникова__________________
«03» сентября 2015 г.

Приказ № 261-од от 03.09.2015 г.

Регламент
работы с персональными данными работников и обучающихся
Муниципального казённого общеобразовательного учреждения «Панаевская школа-интернат»

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящий Регламент устанавливает порядок работы Муниципального казённого общеобразовательного учреждения «Панаевская школа-интернат», с целью получения, обработки, хранения и передачи документов, содержащих сведения, отнесенные к персональным данным работников и обучающихся.
1.2 Цель настоящего Регламента – защита персональных данных работников и обучающихся от несанкционированного доступа и разглашения. Персональные данные являются конфиденциальной, строго охраняемой информацией.
1.3 Настоящий Регламент разработан в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими действующими нормативно-правовыми актами.
1.4 Обработка (получение, использование, передача, хранение и защита) персональных данных работника и обучающегося может осуществляться исключительно в целях:
— обеспечения соблюдения законов и иных нормативных правовых актов
— содействия работнику в трудоустройстве, обучении и продвижении по службе, обучающимся – в обучении
— обеспечения личной безопасности работника и обучающегося
— контроля количества и качества выполняемой работы и обеспечения сохранности имущества в минимально необходимом для этих целей объеме
— контроля качества обучения и обеспечения сохранности имущества в минимально необходимом для этих целей объеме.
1.5 Настоящий Регламент и изменения к нему утверждаются директором школы-интерната. Все работники школы-интерната должны быть ознакомлены с данным Регламентом и изменениями к нему.
1.6 В настоящем Регламенте использованы следующие термины и определения:
Персональные данные работника – любая информация, относящаяся к определенному физическому лицу (работнику), необходимая школе в связи с трудовыми отношениями, в том числе, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы работника, другая информация.
Персональные данные обучающегося – информация, касающаяся конкретного обучающегося, которая необходима оператору (директору школы и (или) уполномоченному им лицу) в связи с отношениями, возникающими между родителями (законными представителями) обучающегося и школой. Обработка персональных данных – действия (операции) с персональными данными, включая систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу, обезличивание, блокирование, уничтожение персональных данных. Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.
Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

II. ДОКУМЕНТЫ, СОДЕРЖАЩИЕ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

2.1 Документы, содержащие сведения, необходимые для заключения, изменения или прекращения трудового договора с работником:
— Паспорт
— Документы об образовании, квалификации
— Медицинская книжка с медицинским заключением об отсутствии противопоказаний для занятия конкретным видом деятельности в образовательном учреждении
— Страховое свидетельство государственного пенсионного страхования
— ИНН
— Документы воинского учета.
2.2 Документы, содержащие сведения, необходимые для предоставления работнику гарантий и компенсаций, установленных действующим законодательством:
— Документы о составе семьи
— Документы о беременности работницы
— Документы о возрасте малолетних детей
— Документы о месте обучения детей.
2.3 Документы, содержащие сведения, необходимые для реализации конституционного права на получение общего образования, в том числе заключения договора с родителями (законными представителями):
— Документы, удостоверяющий личность обучающегося (свидетельством о рождении или паспорт)
— Документ о получении образования, необходимого для поступления в соответствующий класс (личное дело)
— Медицинская карта
— Справка о месте проживания
2.4 Документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций, установленных действующим законодательством:
— Документы о составе семьи
— Документы о состоянии здоровья (сведения об инвалидности, о наличии хронических заболеваний и т.п.)
— Документы, подтверждающие право на дополнительные гарантии и компенсациям по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота и т.п.)
III. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

3.1 Персональные данные работника относятся к конфиденциальной информации. Для лица, получившего доступ к персональным данным, обязательным является требование не допускать распространение данной информации без согласия работника, а также при наличии иного законного основания. Требования при обработке персональных данных работника установлены ст. 86 Трудового кодекса РФ и не подлежат изменению и исключению.
3.2 В целях обеспечения прав и свобод человека и гражданина школа-интернат при обработке персональных данных работника обязана соблюдать следующие общие требования:
3.2.1 обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обучении и продвижении по службе, обеспечения личной безопасности, контроля деятельности, количества и качества выполняемой работы и обеспечения сохранности имущества школы-интерната, работника и третьих лиц.
3.2.2 обработка персональных данных может осуществляться для статистических или иных научных и служебных целей при условии обязательного обезличивания персональных данных.
3.2.3 информация о персональных данных работника предоставляется школе-интернату устно, либо путем заполнения различных анкет, опросных листов, которые хранятся в личном деле. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом не менее чем за три рабочих дня и от него должно быть получено письменное согласие (либо письменный отказ), которое работник должен дать в течение пяти рабочих дней с момента получения соответствующего уведомления. В письменном уведомлении школа-интернат в лице директора сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данны (например, оформление запроса в учебное заведение о подлинности документа об образовании и т.п.) и последствиях отказа работника дать письменное согласие на их получение.
3.2.4 Школа-интернат не имеет право получать и обрабатывать персональные данные работника, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.2.5 Школа-интернат не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.2.6 При принятии решений, затрагивающих интересы работника, школа не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3 При поступлении на работу работник предоставляет школе-интернату следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность;
— трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
— страховое свидетельство государственного пенсионного страхования;
— документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
— документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки.
3.4 Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
3.5 При заключении трудового договора и в ходе трудовой деятельности для обеспечения гарантий и компенсаций работнику, установленных действующим законодательством, может возникнуть необходимость в предоставлении работником документов:
— о возрасте детей;
— о беременности женщины;
— об инвалидности;
— о донорстве;
— о составе семьи;
— о необходимости ухода за больным членом семьи;
— прочие.
3.6 После того, как будет принято решение о приеме на работу, а также впоследствии в процессе трудовой деятельности, к документам, содержащим персональные данные работника, будут относиться:
— трудовой договор;
— дополнительные соглашения к трудовому договору;
— приказ о приеме на работу;
— приказы о поощрениях и взысканиях;
— медицинские документы;
— приказы об изменении условий трудового договора;
— карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от 05.01.2004 №1;
— другие документы.
IV. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ОБУЧАЮЩЕГОСЯ

4.1 Все персональные данные несовершеннолетнего обучающегося до получения им основного общего образования можно получать только у его родителей (законных представителей). Если персональные данные обучающегося возможно получить только у третьей стороны, то родители (законные представители) обучающегося должны быть уведомлены об этом заранее. От них должно быть получено письменное соглашение на получение персональных данных от третьей стороны. Родители (законные представители) обучающегося должны быть проинформированы о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.2 Все персональные данные несовершеннолетнего обучающегося после получения им основного общего образования или совершеннолетнего обучающегося можно получать только у него самого. Если персональные данные такого обучающегося возможно получить только у третьей стороны, то он должен быть уведомлен об этом заранее. От него должно быть получено письменное согласие на получение персональных данных от третьей стороны. Такой обучающийся должен быть проинформирован о целях, предполагаемых источниках данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
4.3 В соответствии со ст.24 Конституции РФ оператор (руководитель образовательного учреждения и (или) уполномоченное им лицо) вправе осуществлять сбор, передачу, уничтожение, хранение, использование информации о политических, религиозных, других убеждений частной жизни, а также информации, нарушающей тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений обучающегося с его письменного согласия (согласия родителей (законных представителей) несовершеннолетнего обучающегося до получения им основного общего образования), форма определяется ч.4 ст.9 Федерального закона «О защите персональных данных» или на основании судебного решения.
V. ХРАНЕНИЕ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ОБУЧАЮЩИХСЯ

5.1 Персональные данные работников хранятся на бумажных носителях и в электронном виде, в кабинете завучей в шкафу и сейфе (при его наличии). Личные дела и карточки Т-2 уволенных работников до истечения текущего календарного года хранятся в канцелярии, а затем передаются в архив школы-интерната.
5.2 Персональные данные обучающегося отражаются в его личном деле, которое заполняется после издания приказа о его зачислении в школу-интернат. Личные дела обучающихся в алфавитном порядке формируются в папках классов, которые хранятся в специально оборудованных шкафах.
5.3 Сведения о начислении и выплате заработной платы работникам хранятся на бумажных носителях в помещении бухгалтерии школы-интерната. По истечении сроков хранения, установленных законодательством Российской Федерации, данные сведения передаются в архив школы.
5.4 Конкретные обязанности по ведению, хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные работников, в том числе по хранению личных дел уволенных работников, возлагаются на секретаря школы-интерната.
5.5 В отношении некоторых документов действующим законодательством Российской Федерации могут быть установлены иные требования хранения, чем предусмотрено настоящим Положением. В таких случаях следует руководствоваться правилами, установленными соответствующим нормативным актом.
5.6 Персональные данные работников, хранящиеся в электронном виде, подлежат защите программными средствами. К ним относятся разграничения прав доступа к электронным ресурсам, парольная идентификация пользователей электронной системы документооборота и парольная идентификация пользователей при входе в информационную систему. Под разграничением прав доступа подразумевается организация доступа работников школы только к тому сегменту информации, который необходим для выполнения своих служебных обязанностей. Каждому работнику школы, имеющему доступ к электронной базе персональных данных, назначается его индивидуальный логин для входа в систему и уникальный пароль, известный только самому пользователю. Работникам запрещается разглашать уникальные пароли для входа в систему.
5.7 Электронные информационные ресурсы и базы данных хранятся на сервере, располагающемся в помещении, доступ в которое имеет только системный администратор и специалист по обслуживанию компьютерной техники.
VI. ЗАЩИТА ИНФОРМАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Сотрудники школы-интерната, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
6.2 Сетевой администратор и специалист по обслуживанию компьютерной техники осуществляют:
— ограничение сетевого доступа на сервер для определенных пользователей;
— организацию контроля технического состояния сервера и уровней защиты и восстановления информации;
— проведение регулярного копирования информации на носители, создание резервных копий особо важной информации;
— ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации.
6.3 Работники школы-интерната, имеющие доступ к персональным данным, при пользовании доступом в сеть Интернет обязаны принимать максимальные меры по обеспечению безопасности:
— использовать антивирусное программное обеспечение (с регулярным обновлением вирусов);
— не допускать работать на свое автоматизированное рабочее место лиц, не имеющих права доступа к данным;
— не оставлять не заблокированным свой компьютер в нерабочее время;
— своевременно сообщать системному администратору о случаях сбоя в работе сети, парольной идентификации и т.д.
VII. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ОБУЧАЮЩИХСЯ

7.1 При передаче персональных данных работники школы-интерната, имеющие доступ к персональным данным, должны соблюдать следующие требования:
7.1.1 Не сообщать персональные данные работника и обучающегося третьей стороне без письменного согласия работника, обучающегося, родителей (законных представителей) обучающегося, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и обучающегося, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами. Учитывая, что Трудовой кодекс Российской Федерации не определяет критерии ситуаций, представляющих угрозу жизни или здоровью работника и обучающегося, школа в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных работника или обучающегося, либо отсутствует письменное согласие работника, обучающегося или его родителей (законных представителей) на предоставление его персональных сведений, либо по мнению школы-интерната отсутствует угроза жизни или здоровью работника или обучающемуся, школа обязана отказать в предоставлении персональных данных лицу.
7.1.2 Не сообщать персональные данные работника и обучающегося в коммерческих целях без его письменного согласия.
7.1.3 Предупредить лиц, получающих персональные данные работника и обучающегося, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
7.1.4 Осуществлять передачу персональных данных в пределах школы в соответствии с настоящим Положением.
7.1.5 Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
7.1.6 Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций.
7.2 Внутренний доступ к персональным данным работников.
Право доступа к персональным данным работника без получения специального разрешения имеют:
— директор школы-интерната;
— секретарь с исполнением обязанностей инспектора отдела кадров;
— заместители директора школы-интерната, главный бухгалтер школы-интерната – по направлению деятельности и по согласованию с директором школы-интерната;
— сотрудники бухгалтерии школы-интерната – к тем данным, которые необходимы для выполнения конкретных функций;
— сам работник, носитель данных.
7.3 Внутренний доступ к персональным данным обучающегося без получения специального разрешения имеют:
— директор школы-интерната;
— заместители руководителя образовательного учреждения;
— секретарь с исполнением обязанностей инспектора отдела кадров;
— классные руководители (только к персональным данным обучающихся своего класса).
7.4 По письменному запросу, на основании приказа руководителя образовательного учреждения, к персональным данным работников и обучающихся могут быть допущены лица в пределах своей компетенции.
7.5 Внешний доступ.
К числу массовых потребителей персональных данных вне школы можно отнести государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения муниципальных органов управления.
7.6 Другие организации.
Сведения о работающем сотруднике или уже уволенном, обучающемся ученике или закончившем обучение могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника, обучающегося или закончившего обучение. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке школы-интерната и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках и обучающихся.
7.7 Родственники и члены семей.
Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
7.8 Требования п.5.1. Положения не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений на основании ст. 88 Трудового кодекса Российской Федерации.
VIII. ОБЯЗАННОСТИ РАБОТНИКА И РАБОТОДАТЕЛЯ

8.1 В целях обеспечения достоверности персональных данных работник обязан:
8.1.1 При приеме на работу предоставить школе полные достоверные данные о себе.
8.1.2 В случае изменения сведений, составляющих персональные данные, своевременно в срок, не превышающий 5 рабочих дней, предоставить данную информацию секретарю школы-интерната.
8.2 Для обеспечения достоверности персональных данных обучающиеся, родители (законные представители) несовершеннолетних обучающихся до получения ими основного общего образования обязаны:
8.2.1 Предоставлять оператору (директору школы (и) или уполномоченному им лицу) точные сведения о себе (своих несовершеннолетних детях).
8.2.2 В случае изменения сведений, составляющих персональные данные совершеннолетнего обучающегося, он обязан в течение месяца сообщить об этом секретарю школы-интерната.
8.2.3 В случае изменения сведений, составляющих персональные данные обучающегося, родители (законные представители) несовершеннолетнего обучающегося до получения им основного общего образования обязаны в течение месяца сообщить об этом секретарю школы-интерната.
8.3 Предоставление работнику или обучающемуся гарантий и компенсаций, предусмотренных действующим законодательством, осуществляется с момента предоставления соответствующих сведений, если иное не предусмотрено действующим законодательством.

8.2. Школа-интернат обязана:
8.2.1 Осуществлять защиту персональных данных работников.
8.2.2 Обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда и др.
8.2.3 По письменному заявлению работника не позднее трех рабочих дней со дня подачи этого заявления выдать копии документов, связанных с его работой (копии приказа о приеме на работу, приказов о переводах, приказа об увольнении с работы; копию и выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы и др.). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
IX. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1 В целях обеспечения защиты персональных данных, хранящихся в школе-интернате, работники, обучающиеся, родители (законные представители) имеют право на:
9.1.1 Полную информацию об их персональных данных и обработке этих данных.
9.1.2 Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом.
9.1.3 Определение своих представителей для защиты своих персональных данных.
9.1.4 Требование об исключении или исправлении неверных или неполных персональных данных. При отказе школы-интерната исключить или исправить персональные данные работника или обучающегося он имеет право заявить в письменной форме директору школы-интерната о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник, обучающийся, родители (законные представители) имеет право дополнить заявлением, выражающим его собственную точку зрения.
9.1.5 Требование об извещении школой-интернатом всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника или обучающегося, обо всех произведенных в них исключениях, исправлениях или дополнениях.
X. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ОБУЧАЮЩЕГОСЯ

10.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника и обучающихся, привлекаются к дисциплинарной и материальной ответственности в порядке установленном Трудовым кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
XI. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1 Настоящий Регламент вступает в силу с момента его утверждения приказом директора –школы-интерната.
11.2 Настоящий Регламент доводится до сведения всех работников под роспись (приложение 1).
11.3 Настоящий Регламент размещается на официальном сайте школы-интерната, с целью ознакомления с ним родителей обучающихся, законных представителей и самих обучающихся.

>Приложение к Положению о работе с персональными данными сотрудников

Получение персональных данных

Все персональные данные сотрудника вы можете получить только от него самого. Если персональные сведения возможно получить только от третьих лиц (например, от его прежнего работодателя), то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных.

Пример получения персональных данных сотрудника от прежнего работодателя

https://www.youtube.com/watch{q}v=ytcopyrightru

Сотрудница организации Е.В. Иванова устроилась в организацию «Альфа» в феврале 2015 года. В этом же году она ушла в декретный отпуск. В 2016 году сотрудница уходит в отпуск по уходу за ребенком. В связи с тем, что в 2015 году сотрудница была в декретном отпуске, для расчета пособия по уходу за ребенком до 1,5 лет Иванова попросила заменить 2015 год расчетного периода на 2012 год, который она полностью отработала у другого работодателя.

Соответственно, информацией о заработке сотрудницы в 2012 году новый работодатель («Альфа») не располагает.

«Альфа» запросила необходимую информацию у предыдущего работодателя, предварительно уведомив Иванову и получив на это ее письменное согласие.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ.

Получив персональные данные, работодатель не вправе распространять и раскрывать их третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Персональные данные работников

Отсутствие этого согласия чревато для организации и ответственных лиц административной ответственностью.

– Унифицированной формы согласия нет– Сотрудник вправе отозвать свое согласие– Согласие должен подписать сотрудник

Чтобы не допустить разглашения личной информации о сотрудниках, создайте внутри организации правила получения, передачи и хранения персональных данных. Правила допуска к данным сведениям установите в Регламенте.

В разделе «Общие положения» укажите сведения о том, на основании каких нормативных актов разработан документ, основные цели и задачи его разработки.

В разделе «Виды допуска к обработке персональных данных сотрудников» опишите виды допусков к обработке персональных данных. Конкретизируйте ограничения

Посмотреть образец

С 1 июля 2017 действуют новые штрафы за нарушения в работе с персональными данными. Вы уже знаете, как работать с персональными данными в новых условиях, чтобы избежать штрафов. А знаете ли Вы, что есть ситуации, когда разрешение на обработку персональных данных не требуется{q}

— Цели и условия обработки персональных данных

— Ситуации, когда вы обрабатываете персданные без согласия сотрудников

— Правовые основания

Отзыв сотрудника своего согласия на обработку персональных данных

Положение о работе с персональными данными работников

Положение о работе с персональными данными сотрудника (фрагмент)

Приказ о назначении ответственного по работе с персональными данными

Приложение к Положению о работе с персональными данными сотрудников

Согласие сотрудника на обработку персональных данных

Уведомление Роскомнадзора о прекращении обработки персональных данных сотрудников

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в Положении о работе с персональными данными сотрудников (ст. 87 ТК РФ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации (п. 8 ч. 1 ст. 86 ТК РФ).

Ситуация: как защитить персональные сведения, находящиеся в компьютерной базе данных{q}

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Вопросы защиты персональных данных регламентированы двумя основными документами – Трудовым кодексом РФ (ст. 87) и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Более узкие правоотношения в указанной сфере регулируются подзаконными актами, например, Указом Президента РФ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».

разработка проекта;

согласование его с необходимыми специалистами компании;

утверждение руководителем и введение в действие;

ознакомление всех работников с ним под роспись.

Как правило, обязанность по разработке Положения и поддержанию его в актуальном состоянии возлагается на сотрудников кадровой службы. Утверждается Положение приказом руководителя предприятия, составленном в произвольной форме. Этим же приказом утверждается перечень должностных лиц, допускаемых к работе с персональными данными сотрудников. После утверждения документа он хранится в отделе кадров.

Положение разрабатывается с учетом норм, изложенных в гл. 14 ТК РФ «Защита персональных данных работника». Оно может состоять из следующих разделов:

  1. Общие положения;
  2. Понятие и состав персональных данных;
  3. Обязанности работодателя;
  4. Порядок получения персональных данных работников;
  5. Обработка, учет, хранение и передача персональных данных;
  6. Доступ к персональным данным;
  7. Формирование и ведение личных дел сотрудников;
  8. Порядок обеспечения защиты персональных данных;
  9. Права и обязанности работника в области защиты его персональных данных.
  10. Ответственность работника и работодателя.

Общие положения. В этом разделе указывается цель разработки данного локального нормативного акта, порядок его утверждения и ввода в действие, срок действия, для каких категорий сотрудников он является обязательным для исполнения. Здесь же необходимо дать перечь нормативных актов, на основании которых разработан документ.

Кроме этого, в разделе можно дать перечень используемых терминов и определений, раскрыть их смысловое содержание. В том числе это относится к термину «личное дело работника», при описании которого необходимо привести список тех документов, которые в это дело входят.

Понятие и состав персональных данных. При определении этого понятия необходимо оговорить, что личная информация собирается и обрабатывается работодателем в связи с трудовыми отношениями и необходимостью идентификации личности работника. В этом же разделе нужно привести список тех сведений, которые являются персональными данными, в их число входят не только те данные, которые известны из представленных при поступлении на работу документов, но и, например, такие:

  • адрес электронного личного почтового ящика;
  • номер дебетовой «зарплатной» пластиковой карты;
  • содержание трудового договора и дополнительных соглашений к нему;
  • состав сведений о имеющемся в собственности недвижимом имуществе;
  • результаты медицинских освидетельствований.

В разделе нужно будет дать перечень тех документов, формируемых в процессе трудовых отношений, которые также могут содержать персональные данные работника и подпадают под это определение. К таким документам, например, можно отнести:

  • трудовую книжку;
  • трудовой договор;
  • приказы по личному составу;
  • личное дело;
  • сертификаты и свидетельства, подтверждающие повышение квалификации, обучение и переобучение;
  • копии отчетов по персонифицированному учету, направляемые во внебюджетные фонды и органы статистики.

Обязанности работодателя. В разделе следует оговорить, что в процессе сбора, обработки, учета, хранения и передачи персональной информации о работниках руководитель должен строго соблюдать нормы ТК РФ и законодательства о персональных данных, ограничиваясь исключительно целями содействия работнику при трудоустройстве, в обучении и профессиональном росте.

Порядок получения персональных данных работников должен предусматривать как сбор информации из документальных источников, представленных самим работником так и получение персональных сведений с их письменного согласия. Так, например, только с письменного согласия работника и только в случаях, обусловленных трудовыми отношениями, работодатель может запросить информацию по вопросам семейных, бытовых, личных отношений.

Обратите внимание: Сведения о политических и религиозных убеждениях сотрудника работодатель не имеет права ни запрашивать, ни получать и обрабатывать.

В случаях, когда информацию личного характера можно получить только у третьей стороны, работника необходимо не только оповестить об этом заранее, но и получить у него письменное согласие. При уведомлении работодатель обязан информировать сотрудника, с какой целью собираются сведения, их характере и тех последствиях, которые повлечет отказ сотрудника о предоставлении данных сведений.

Обработка, учет, хранение и передача персональных данных. В данном разделе указываются цели с которыми собираются и обрабатываются личные данные сотрудников. Устанавливается единый режим действий с любой информацией, как на бумажных, так и на электронных носителях. В разделе необходимо оговорить те меры, которые принимает работодатель по ограничению доступа, обеспечению сохранности и целостности вверенных ему персональных данных, в том числе, личных дел и личных карточек работников.

https://www.youtube.com/watch{q}v=ytcreatorsru

Доступ к персональным данным. В этом разделе необходимо привести перечень должностей, для которых устанавливается неограниченный доступ к персональным данным работников, а также тех должностей, которые имеют ограниченное право доступа. К первым, как правило, относится:

  • директор предприятия и руководитель структурного подразделения, в котором трудится работник;
  • сотрудник, непосредственный владелец персональных данных;
  • руководитель и работник кадровой службы, ответственный за ведение личных дел и личных карточек сотрудников.

В числе лиц, имеющих ограниченный доступ, можно перечислить:

  • сотрудников службы кадров и службы по персоналу;
  • сотрудников бухгалтерии, которым необходимы личные данные сотрудников для выполнения некоторых функций.

Кроме этого, в разделе можно дать список лиц, которым, при соблюдении требований закона, могут быть переданы личные данные сотрудников. К таковым можно отнести:

  • внебюджетные фонды и органы статистики;
  • налоговые органы;
  • правоохранительные органы;
  • органы социального страхования;
  • органы воинского учета;
  • органы исполнительной власти.

Отдельно следует оговорить основания, процедуру и порядок передачи третьим лицам сведений персонального учета.

Формирование и ведение личных дел. В данном разделе нужно установить порядок формирования личного дела работника и состав документов, которые в него входят Кроме того, необходимо дать ссылку на локальный регламент, устанавливающий порядок ведения и хранения личных дел. Если такого локального акта на предприятии нет, регламентировать порядок ведения и хранения личных дел можно данным разделом Положения о защите персональных данных.

Случаи обработки данных без согласия сотрудника

После получения персональных данных сотрудника у работодателя возникает необходимость их обработки.

По общему правилу обработку таких данных можно проводить только с письменного согласия сотрудников. В согласии должна быть указана информация об объеме обрабатываемых данных, целях, способах обработки, сведения о том, кто обрабатывает данные, срок, в течение которого действует согласие сотрудника, и его подпись (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

В отдельных случаях обрабатывать персональные данные сотрудника можно без его согласия. Например, в случаях, прямо предусмотренных коллективным договором, а также локальными актами организации (разъяснения Роскомнадзора от 14 декабря 2012 г.).

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Также не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета, а также данных, переданные в архивную организацию.

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре организации.

Об этом сказано в абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Посмотреть образец

Защита персональных данных

Справка

Что же должно содержаться в этом документе{q} Положение о защите персональных данных работников должно содержать следующую информацию:

  • Цели обработки данных о работниках;
  • Основные понятия (они, как правило, дублируются с понятиями, указанными законом);
  • Принципы, на которых строится работа организации с информацией о работниках; режим доступа к персональным данным, перечень лиц, имеющих такой доступ, порядок его получения;
  • Какая конкретно информация о сотрудниках считается в компании персональными данными (здесь необходимо учитывать специфику юридического лица, использующего наемных работников), состав сведений, относящихся к персональным данным работников;
  • Права и обязанности субъектов персональных данных, работодателя и лиц, которые будут заниматься сбором, хранением и обработкой персональных данных на предприятии;
  • Как, где хранятся сведения о сотрудниках;
  • Кто из работников имеет доступ к персональным данным;
  • Кто отвечает за сохранность этих сведений;
  • Как происходит обработка персональных данных;
  • Какие условия соблюдает компания, передавая третьим лицам информацию о сотруднике;
  • Как поддерживается актуальность сведений и иные разделы и информация.

Ответственность работника и работодателя. Разделом необходимо предусмотреть те виды ответственности, которые предусмотрены за нарушение правил учета, ведения и хранения персональных данных работников. В данном случае для нарушителей предусматривается дисциплинарная, административная, гражданско-правовая и уголовная ответственность.

При этом в отношении работника должна быть установлена ответственность за предоставление недостоверных сведений, подложных документов. При установлении ответственности работодателяследует сослаться на положения ст. 90 ТК РФ, ст. 13.14 КоАП РФ и ст. 137 УК РФ.

Приложениями к Положению могут быть формы согласий на обработку персональных данных, письменных обязательств о неразглашении информации и др.

При подготовке проекта информацию берут из закона. Проблема состоит в том, что в ст. 18.1 Закона о персональных данных перечень мер, с помощью которых обеспечивается защита и сохранность, не является исчерпывающим. Учитывая, что технический прогресс не стоит на месте и все больше используются электронные архивы, электронный обмен данными, в законе мы можем не найти формулировок, подходящих к конкретной компании. Тогда придется описывать процессы и технические средства, которые используются, самостоятельно.

Судебной практики о наказании виновных должностных лиц организаций достаточно много. Широко применяется ст. 13.11. КоАП РФ, напрямую касающаяся нарушения порядка работы с персональными данными. Штрафы на текущий момент такие: для юридического лица от пяти до десяти тысяч рублей.

Вот уже с 1 июля ситуация изменяется и работодатель может быть подвергнут штрафу за эти виды правонарушений в размере аж до 75 тысяч рублей. Расширится и перечень оснований для привлечения к ответственности. Об этом смотрите Федеральный закон от 07.02.2017 № 13-ФЗ.

Таким образом, в свете изменения ситуации с ответственностью, следует серьезно проработать вопросы сбора, использования, передачи и защиты персональных данных работников. Даже если у работодателя имеется локальный нормативный акт, касающийся информации о сотрудниках, стоит внимательно просмотреть его на предмет актуальности, юридической силы, полезности для работодателя.

Можно ли размещать данные на корпоративном сайте

Ситуация: можно ли разместить персональные данные своих сотрудников на корпоративном сайте{q}

Нет, нельзя.

Персональные данные сотрудника – это информация, необходимая организации и относящаяся к определенному физическому лицу (конкретному сотруднику). Примерами такой информации может быть фамилия, имя, отчество, дата и место рождения, место проживания и т. д. Об этом сказано в пункте 1 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Размещение персональных данных на корпоративном сайте организации является распространением информации, которое возможно только с письменного согласия сотрудника (ст. 88 ТК РФ).

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными. К нему составьте приложение, в котором укажите список сотрудников, согласных (или несогласных) на размещение персональных данных. Таким образом, требование статьи 88 будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые статьей 86 Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (ст. 90 ТК РФ).

Условие о неразглашении

Ситуация: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации{q}

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Ответственность за разглашение

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для руководителя и главного бухгалтера – от 500 до 1000 руб.;
  • для организации – от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Такие меры ответственности предусмотрены статьями 13.11 и 13.14 Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя или главного бухгалтера организации может наступить за незаконное:

  • собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

В этом случае может наступить один из следующих видов ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет;
  • арест на срок до четырех месяцев.

https://www.youtube.com/watch{q}v=ytpolicyandsafetyru

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

  • штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
  • лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового. Данный вид уголовной ответственности будет применяться с 1 января 2014 года (ч. 3 ст. 8 Закона от 7 декабря 2011 г. № 420-ФЗ);
  • лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет;
  • арестом на срок до шести месяцев.

Такая ответственность предусмотрена в статье 137 Уголовного кодекса РФ.

Права и обязанности субъекта персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения Администрации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с администрацией или на основании законодательства;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.

8.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

8.3. Субъект персональных данных вправе требовать от администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.4. Сведения, указанные в пункте 8.1. раздела 8 Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.5. Если субъект персональных данных считает, что Администрация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие администрации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.7. Субъект персональных данных обязан:

1) передавать администрации комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;

2) своевременно сообщать уполномоченным администрации лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.

8.8. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

Права и обязанности субъектов персональных данных и оператора.

Предыдущая1234567

4.1. В целях обеспечения защиты персональных данных субъекты имеют право:

— получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

— осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

— требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

— при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

— дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

— требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

— обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2. Для защиты персональных данных субъектов оператор обязан:

— за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

— ознакомить работника или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

— по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;

— осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

— предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

— обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

— по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3. Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

Закладка Постоянная ссылка.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *