Что такое обработка персональных данных работника и как это делают?

Содержание

Политика обработки персональных данных

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:


1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами: — Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей; — Должностное лицо: штраф в размере от 5 000 — 10 000 рублей; — Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2. Обработка персональных данных без согласия гражданина приведет: — Физическое лицо: штраф в размере 3 000 — 5 000 рублей; — Должностное лицо: штраф в размере от 10 000 — 20 000 рублей; — Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф: — Физическое лицо: штраф в размере 700 — 1 500 рублей; — Должностное лицо: штраф в размере от 3 000 — 6 000 рублей; — Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей — Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Отдельно необходимо отметить три пункта:

1. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.

2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Несколько ситуаций, когда персональные данные можно обрабатывать без согласия

Эти случаи опираются на законодательство РФ:

  • Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
  • Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
  • Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
  • Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  • Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
  • Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  • Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. Во всех ситуациях, которые не подходят под эти пункты, необходимо согласие на обработку.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ИНН;
  • фотографии;
  • сведения о работе;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • метрики сайта (ip-адрес, геотеги, cookies и т.д.);
  • и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.


Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Отзыв согласия

Как лучше реализовать механизм отзыва согласия

Пример из Руководства: При покупке билетов на музыкальный фестиваль согласие на обработку данных в целях маркетинга подтверждалось путем клика «Да» или «Нет». Но для отзыва согласия требуется позвонить в офис продавца билетов с 8 утра до 5 вечера. Это недопустимая ситуация в рамках GDPR, нарушающая условие о легкости отзыва согласия.Пример: Использование в электронных письмах ссылки «Отписаться от рассылки» («Unsubscribe») для отказа от получения уведомлений – простой и удобный способ. Он позволяет быстро найти любое письмо и отозвать согласие. Можно добавить отдельную кнопку или ссылку в личном кабинете пользователя. С понятным текстом, вроде «Отказаться от обработки персональных данных». Далее вы можете или просто удалить все данные пользователя, или же предложить ему опции, какие данные удалить, а какие оставить.

Что делать после отзыва согласия

Пример: Данные, ранее полученные на основании согласия, впоследствии стали необходимы для выполнения условий заключенного договора или их необходимо хранить в соответствии с требованиями законодательства: налогового, финансового или трудового и любого другого (Статья 6(1)(b) Регламента).Пример из Руководства: Если окажется, что согласие было оформлено с нарушением правил GDPR, и данные собирались на основании недействительного согласия, нельзя ретроспективно заменить согласие на иное основание; например – наличие законного интереса в ведении бизнеса через рекламные рассылки (Статья 6(1)(f) Регламента).

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Сертифицированное ПО

Способы удешевления сертификации:

  1. Перевод рабочих мест, обслуживающих и хранящих ПД на клиент-серверные технологии, например Microsoft Terminal Services; т.о. можно сократить затраты на приобретение спец. ПО в разы;

Kaspersky BusinessSpace Security Certified Media Pack

В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.

Медиа-пак – необходимый для установки, конфигурирования и использования продукта набор программ (дистрибутив). Поставляется в комплекте с лицензиями Kaspersky Business Space Security .

1C: Предприятие 8.2z

«1С:Предприятие, версия 8.2z» признан программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну (сертификат соответствия № 213 от 20.07.2010 г., выданный ФСТЭК России) .

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

  • Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
  • Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

  • считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
  • считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Заполнение

Для сайта

ФИО, проживающий по адресу, паспортные данные (кем и когда выдан), настоящим выражают свое согласие на обработку сайтом моих персональных данных, к ним относятся:

  • ФИО;
  • место и год рождения;
  • телефон;
  • адрес электронной почты;
  • иные сведения, необходимые для осуществления действий сайта.

Такое согласие является действительным до того момента, пока не будут достигнуты цели обработки.

Для родителей

Я, ФИО, проживающий/проживающая по адресу, паспортные данные, настоящим выражаю свое согласие на обработку в образовательном учреждении персональных данных моего несовершеннолетнего ребенка (ФИО ребенка). К ним относятся:

  • ФИО;
  • дата рождения;
  • домашний адрес;
  • дата поступления в образовательное учреждение;
  • дата выбытия из образовательного учреждения;
  • причина выбытия;
  • отметка о выдаче личного дела;
  • ФИО родителе;
  • место работы родителей;
  • должность, занимаемая родителями;
  • контактные телефоны;
  • состояние здоровья.

Я выражаю свое согласие на использование персональных данных в целях обеспечения учебно-воспитательного процесса ребенка.

Отдельно пишется информация о возможности передачи информации третьим лицам, если это является необходимым и не противоречит действующему законодательству.

  • Скачать бланк согласия на обработку персональных данных ребенка
  • Скачать образец согласия на обработку персональных данных ребенка

Более подробно о подписании согласия для родителей на обработку персональных данных учащихся читайте тут.

Для работы


Я, ФИО, зарегистрированный/зарегистрированная по адресу, паспортные данные, основываясь на ФЗ №152 «Об обработке персональных данных», даю свое согласие на обработку моих персональных данных (перечисляются данные, которые могут быть использованы работодателем).

Если есть необходимость предоставить конфиденциальную информацию не в одну организацию, а сразу в несколько, лучше для каждой организации заполнить отдельный бланк, а не делать все воедино. Этот пункт должен в обязательном порядке содержать перечень действий, которые могут осуществляться с предоставленными сведениями.

Документ подписывает непосредственно работник, ФИО полностью расшифровываются. В самом конце ставится дата оформления документа.

Желательно включить в документ пункт, в котором будет указано, что сотруднику подробно разъяснили все его обязанности и права, касающихся защиты его предоставленной информации.

Работодатель, как и его должностные лица, могут быть подвергнуты административной (штраф от 4000 до 5000 рублей) и уголовной (до 5 лет лишения свободы) ответственности. Если полученная конфиденциальная информация были использованы неправомерно, также может быть применена мера гражданской ответственности (возмещение морального и материального ущерба).

Бывают ситуации, когда отказ о предоставлении такой информации влечет за собой негативные последствия. Если в организации действует пропускной режим, то сотруднику нельзя будет оформить или поменять пропуск. То есть, если сотрудник отказывается предоставлять согласие на обработку конфиденциальной информации, то он не сможет осуществлять трудовую деятельность.

  • Скачать бланк согласия на обработку персональных данных для работы
  • Скачать образец согласия на обработку персональных данных для работы

Принципы

Статья 5 Федерального закона №125-ФЗ от 27.07.2006г. (ред. От 29.07.2017г.) «О персональных данных» описывает принципы работы с информацией. Основные принципы:

  • Личная информация работников должна обрабатываться согласно действующему законодательству.
  • Индивидуальные сведения граждан могут использоваться только для достижения определенных целей, находящихся в рамках закона.
  • Объем и суть персональных данных, взятых для обработки, должны соответствовать поставленным целям, без затрагивания избыточных сведений, не нужных для решения существующего вопроса.
  • Нельзя объединять базы данных, наполненные персональными сведениями, используемыми для достижения несовместимых целей.
  • В процессе работы с личной информацией должна обеспечиваться точность данных, достаточность, актуальность в отношении поставленных руководителем целей. СПРАВКА. Ответственное лицо обязано принять меры по уточнению неполных сведений, если выявлена их недостаточность для достижения поставленной задачи.
  • Хранить персональные данные следует до тех пор, пока они требуются для обработки с какой-либо целью, если иной промежуток времени не утвержден законодательно либо договором с выгодополучателем.
  • Сведения должны содержаться в форме, позволяющей без труда распознать субъекта, к которому они относятся.

Когда необходимость в обработке некоторых данных пропадает, их следует обезличить либо вовсе уничтожить.

Обзор документа

Биометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД).

К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность. В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись).

Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде. В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций.  Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.

Последнее не требуется, если изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях. Исключение — такое изображение является основным объектом использования. Согласия также не спросят, если лицо позировало за плату.

Таким образом, для опубликования, в т. ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.

Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.

К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина. В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.

Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности).

О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Уведомление

После того, как сотрудник даст согласие на работу с его персональными данными, оператор должен предоставить уведомление об этом (ФЗ№152 ст.22).

Уведомление предоставляется в Роскомнадзор. Передачу должен сделать оператор.

Уведомление включает такие пункты:

  • тип оператора (юр.лицо);
  • местонахождение и название оператора;
  • цель обработки информации;
  • категории данных, которые обрабатываются;
  • категории сотрудников, чьи данные подвергаются обработке;
  • правовое основание (ссылки на законы);
  • указание принятых мер безопасности;
  • дата начала работы с данными;
  • срок, а также условия прекращения работы с информацией;
  • территория, где происходит обработка.

Ряд данных можно обрабатывать и без специально уведомления:

  • данные, которые были получены в соответствии со ст. 65 ТК;
  • когда информация не предоставляется 3 лицам и не распространяется без согласия самого сотрудника;
  • данные об участниках общественного объединения, а также религиозных организации, если данные не предоставляются 3 лицам и не подлежат распространению без согласия самого работника;
  • информацию, которую работник собирается обратить в общий доступ;
  • информацию, нужную для того, чтобы работнику один раз попасть на территорию работодателя;
  • информацию, содержащую только Ф.И.О. человека;
  • данные, не обрабатываемые приборами автоматизации;
  • данные, используемые для безопасной работы транспортного комплекса.

В чем заключается процедура?

В каждой организации на основании Трудового Законодательства и федерального законодательства разрабатывается практически идентичная процедура обработки подобной информации.

В том числе определяется порядок хранения информации, относящейся к персональным данным; Порядок их учета:

  1. Порядок восстановления данных при получении доступа к любой информации лицами, которые не имеют права работать с такими документами и многое другое.
  2. Перевод данных на машинные носители и порядок хранения на машинном носителе.
  3. Характер аудита информации и многие другие параметры.
  4. В большинстве случае отделы кадров получают рекомендации о характере работы с такой информацией от представителей юридических подразделений.
  5. В чем состоит процесс сбора данных, и кто может заниматься такой работой.

В большинстве ситуации о необходимости согласиться с обработкой личностной информации требуется при подписании любого договора.

Собирают информацию представители организаций, уполномоченные выполнять подобные действия. В идеале, такое направление работ записывается в их должностном регламенте.

Максимальной легитимностью отличается работа с подобной информацией представителей кадровых служб.

Статья 9 152-ФЗ учитывает возможность гражданина отказаться предоставлять свои данные персонального характера в ситуации, когда он не понимает целесообразность передачи такой информации.

Для подтверждения необходимости получения такой информации получатель данных должен подтвердить свой статус оператора, который присваивается только после подачи соответственного уведомления в проверяющий орган.

В одобренном уведомлении всегда указывается, какую конкретную информацию нужно будет этому оператору представить, и какую запрашивать он не имеет права. Это касается и отделов кадров государственных и частных структур.

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

При обработке необходимо:

  1. Четко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.

Справка! Оператор может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Принципы

Целевой характер практического применения информации. Процесс должен осуществляться с учетом строгого контроля за объемом и размером обработки. Запрещается объединять несколько баз данных разной целенаправленности.

Точность передаваемых сведений, их достоверность, полнота и актуальность. При необходимости их дополнение и уточнение либо удаление неверной информации. Ограниченный срок хранения данных в соответствии с законодательством или двусторонним договором. По истечении указанного срока сведения подлежат уничтожению.

Важно! В случае если информация, полученная от гражданина РФ относится к разным категориям, для хранения ПД используется отдельный носитель для отдельной категории.

Общие положения

Есть 3 категории:

  1. Общедоступные — главные данные в анкете, сюда входят ФИО, пол, место и дата рождения.
  2. Биометрические — сведения о внешности, определенных особенностях физиологического характера, если они не определяются визуально.
  3. Специальные — сведения о национальности, вероисповедании, судимости, состоянии здоровья, а также частичные сведения о работе (например, причина увольнения).

ВНИМАНИЕ: за исключением общедоступных данных, такая информация является конфиденциальной, для её использования необходимо разрешение человека, в противном случае речь идет о нарушении законодательства.

Для поликлиники

Согласие на обработку персональных данных для поликлиники заключается в том, что субъект (в данном случае пациент поликлиники) в добровольном порядке принимает решение об их предоставлении, соглашается на обработку в своем интересе, своей волей и добровольно.

Для работодателя

Согласие для работодателя — это документ, который необходимо составить, если работодатель желает использовать персональные данные работника для осуществления трудовых отношений. Они могут обрабатываться в виде получения, хранения, комбинирования, передачи, а также может быть иное использование, не противоречащее действующему российскому законодательству.

Здесь речь идет о заявлении, в котором подтверждается согласие работника на то, что он даёт свои персональные данные в целях осуществления трудовых отношений. Если они от третьих лиц, то без письменного разрешения такую информацию предоставлять нельзя, это будет относится к нарушению права на неприкосновенность частной жизни человека.

Если информация работодателем получена не от работника, а от третьих лиц, то работодатель в обязательном порядке обязуется поставить работнику определенную информацию:

  • адрес оператора, а также его имя, фамилию и отчество;
  • с какой целью необходимо обрабатывать информацию, какие для этого существуют правовые основания;
  • указываются лица, которые получат доступ к обработке конфиденциальных сведений о работнике;

Если личную информацию о работнике работодатель получил от третьих лиц, то такая информация должна использоваться строго в соответствии с Положением о персональных данных.

В каждой организации такое положение свое, все зависит от того, какой деятельностью занимается предприятие.

Сотрудник организации

Работодатель может запросить от наемного работника следующие данные:

  • информацию, внесенную в паспорт;
  • ИНН и СНИЛС;
  • документы об образовании;
  • военный билет;
  • трудовую книжку – предыдущие места работы с указанием занимаемой должности;
  • водительское и пенсионное удостоверения;
  • данные о членах семьи и их местах работы;
  • информацию о состоянии здоровья, прохождении медкомиссий и профосмотров;
  • заполненную при трудоустройстве анкету и трудовое соглашение;
  • приказы, в которых отражаются кадровые перестановки, поощрения;
  • свидетельства о повышении квалификации;
  • объяснительные письма и заявления работника.

Важно! Спорным остается вопрос о том, является ли ПД номер телефона гражданина, так как он не предполагает возможность точно установить личность.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности. Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи. В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.


С этим читают