Основание для обработки персональных данных

Вся информация на в статье на тему: "Основание для обработки персональных данных". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Политика обработки персональных данных

УТВЕРЖДЕНА приказом ЗАО «ПФ «СКБ Контур» от 29.12.2012 № 299

1. Назначение и область действия

1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ЗАО «ПФ «СКБ Контур» (далее — Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.3. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 «О персональных данных».

1.4. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

2. Сведения об обработке персональных данных

2.1. Обработка персональных данных Оператором ведется смешанным способом: с использованием средств автоматизации и без.

2.2. Действия с персональными данными включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, правовыми основания для обработки являются:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
  • Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
  • Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
  • Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
  • Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
  • Закон РФ от 10.07.1992г. № 3266-1 «Об образовании»;
  • Устав ЗАО «ПФ «СКБ Контур»;
  • Регламент Удостоверяющего центра ЗАО «ПФ «СКБ Контур».

2.4. Содержание и объем обрабатываемых персональных определяются исходя из целей обработки. Не обрабатываются персональные данные, избыточные или несовместимые по отношению к следующим основным целям:

  • заключение трудовых отношений с физическими лицами;
  • выполнение договорных обязательств Оператора;
  • выполнение функций удостоверяющего центра;
  • соблюдение действующего трудового, бухгалтерского, пенсионного, иного законодательства Российской Федерации.

2.5. К основным категориям субъектов персональных данных, чьи данные обрабатываются Оператором, относятся:

  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с Оператором;
  • физические лица, состоящие в трудовых и гражданско-правовых отношениях с контрагентами Оператора;
  • кандидаты на замещение вакантных должностей.

2.6. Для указанных категорий субъектов могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН, СНИЛС, контактная информация (телефон, адрес электронной почты), иные сведения, предусмотренные типовыми формами и установленным порядком обработки.

2.7. При обработке обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

2.8. Для персональных данных, не являющихся общедоступными, обеспечивается конфиденциальность.

2.9. Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом персональных данных не установлен соответствующий срок хранения. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:

  • достижение целей обработки персональных данных или максимальных сроков хранения — в течение 30 дней;
  • утрата необходимости в достижении целей обработки персональных данных — в течение 30 дней;
  • предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 дней;
  • невозможность обеспечения правомерности обработки персональных данных — в течение 10 дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных — в течение 30 дней;
  • отзыв субъектом персональных данных согласия на использование персональных данных для контактов с потенциальными потребителями при продвижении товаров и услуг — в течение 2 дней;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных;
  • ликвидация (реорганизация) Оператора.

2.10. Обработка персональных данных на основании договоров и иных соглашений Оператора, поручений Оператору и поручений Оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений Оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

  • цели, условия, сроки обработки персональных данных;
  • обязательства сторон, в том числе меры по обеспечению конфиденциальности;
  • права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

2.11. В случаях, не предусмотренных явно действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, принятия условий

договора-оферты, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем при продвижении товаров и услуг Оператора на рынке.

Читайте так же:  Виды взысканий гражданско правовой ответственности

2.12. Оператор зарегистрирован в реестре уполномоченного органа по защите прав субъектов персональных данных за номером № 09-0066830. В реестре указаны сведения об Операторе, в том числе: полное наименование, контактная информация для обращений, сведения об обработке персональных данных и мерах по обеспечению безопасности.

3. Меры по обеспечению безопасности персональных данных

3.1. Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных для их защиты от несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий. К таким мерам, в частности, относятся:

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос Оператору по почте или обратившись лично.

4.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

4.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций — Роскомнадзор) или судебном порядке.

4.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Роли и ответственность

5.1. Права и обязанности Оператора определяются действующим законодательством и соглашениями Оператора.

5.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных и Отделом информационной безопасности Оператора в пределах их полномочий.

5.3. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора, за неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Оператором и контрагентом гражданско-правового договора или Соглашения о конфиденциальности информации.

5.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Оператора.

Источник: http://kontur.ru/about/policy

Политика обработки персональных данных: как составить документ

Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
Читайте так же:  Каковы последствия неявки в суд

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

Источник: http://kontur.ru/articles/4871

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Читайте так же:  Яндекс драйв возмещение ущерба

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Видео (кликните для воспроизведения).

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Что нужно знать об обработке и хранении персональных данных в России? Правовое регулирование

Деятельность государственных органов, предпринимателей и общественных объединений часто бывает сопряжена с обработкой и хранением личных данных о клиентах, сотрудниках либо прочих взаимосвязанных лицах.

Законодательство запрещает раскрывать третьим лицам такую информацию. В связи с этим операторы, выполняющие процессы с конфиденциальными данными, имеют четкие обязанности по их защите.

Что значит обработка личной информации и каковы её цели?

К личным сведениям причисляются:

  • ФИО;
  • дата и место рождения человека;
  • его адрес;
  • уровень образования;
  • должность;
  • фото- и видеозаписи;
  • семейное положение;
  • родственники;
  • биографические факты;
  • подробности о судимости;
  • место работы;
  • финансовое состояние;
  • подтверждение службы в армии;
  • оценочные характеристики;
  • национальность;
  • раса;
  • религиозные взгляды;
  • состояние здоровья;
  • политические убеждения;
  • интимная жизнь;
  • биометрия;
  • прочие идентифицирующие личность факты.

Такая информация может содержаться в:

  • паспортах;
  • трудовых книжках;
  • военных билетах;
  • справках о составе семьи;
  • дипломах;
  • декларациях о доходах;
  • анкетах;
  • личных карточках;
  • свидетельствах о бракосочетании и метриках на детей;
  • медицинских картах.

Она проходит следующие этапы:

  1. сбор;
  2. запись;
  3. систематизация;
  4. накопление;
  5. хранение;
  6. уточнение (обновление, изменение);
  7. извлечение;
  8. использование;
  9. передача;
  10. обезличивание;
  11. блокирование;
  12. уничтожение.

Автоматизированная обработка

Используется несколько способов обработки личной информации:

  • автоматизированный;
  • неавтоматизированный;
  • смешанный.

Автоматизированная обработка производится с применением средств автоматизации.

Правовое основание этой деятельности в России

В этой сфере следует руководствоваться нормами ФЗ № 152, № 149 и иными нормативными актами относительно защиты данных. Требования нормативных актов в сфере защиты личной информации затрагивают деятельность различных участников экономических процессов:

  • интернет-магазинов;
  • работодателей;
  • организаций;
  • государственных органов;
  • центров обработки информации.

Правила и принципы

Личная информация является конфиденциальной. Оператор имеет право осуществлять любые действия с ней в предусмотренных законом случаях:

  • при оказании социальной помощи;
  • в связи с трудовыми отношениями;
  • в случае предоставления пенсионного обеспечения;
  • для установления прав человека и в связи с судопроизводством;
  • при страховании;
  • при предоставлении услуг;
  • в прочих ситуациях.

Персональные сведения оператор может получить:

  • от самих субъектов;
  • от третьих лиц с обязательным подтверждением согласия от граждан, которых они касаются, на передачу таких сведений.

Обрабатывая личную информацию, оператор должен следовать таким принципам:

  • придерживаться законодательных норм;
  • следовать целенаправленности в обработке;
  • собирать только необходимую, являющуюся достаточной, базу для поставленной цели;
  • не допускать объединения баз данных, являющихся несовместимыми между собой;
  • уничтожать или обезличивать сведения после выполнения действий с ними или в случае утраты необходимости в них.
  1. Оператор может по договору поручить обработку собранной базы третьей стороне с согласия граждан, которых она касается. Третья сторона обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре:
  • определяется список операций со сведениями;
  • формулируются цели;
  • вменяется в обязанность обеспечивать конфиденциальность и безопасность;
  • указываются требования к защите обрабатываемых сведений.
  • С согласия граждан для целей обработки оператор может передавать персональные сведения в другие страны.
  • Третьим лицам раскрывать и распространять данные без согласия граждан, которых они касаются, не допускается. В ситуациях, когда раскрытия личных сведений требует закон или судебное решение, разглашение информации нарушением законодательных норм не считается.
  • Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя, для сохранения в браузере). Cookies не передаются третьим лицам.
  • Оператор не несет ответственности за сведения, предоставленные самим гражданином в общедоступной форме.
  • Оператор имеет право отправлять рекламные и прочие информационные сообщения на электронные ящики и мобильные телефоны граждан, к которым относятся эти персональные данные, только по их согласию. Сервисные сообщения, отправляемые автоматически на этапах обслуживания гражданина, не могут быть отклонены им.
  • Требования к хранению

    Нормативными документами РФ регламентируются:

    • место хранения личной информации граждан РФ;
    • порядок ее хранения;
    • сроки хранения.

    В процессе сбора, обработки и хранения личных сведений должны оформляться следующие документы:

    • заявления граждан о согласии на проведение действий с их данными;
    • журналы учета персональной информации, ее выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
    • журнал проверок наличия документов, содержащих персональные сведения.

    Система хранения

    На законодательном уровне введены обязанности хранить данные российских граждан только на территории РФ. Для соблюдения этого требования законодательства российские операторы, которые пользуются зарубежными сервисами, имеют возможность перейти на агентскую схему контрактов с конечными пользователями.

    В таком случае они выступают в отношениях с зарубежным поставщиком сервиса от имени пользователя и никакой ответственности в этом качестве не несут.

    Права и обязанности по договору возникают непосредственно у зарубежного владельца сервиса, на которого требования российского законодательства не распространяются.

    Чтобы обойти законодательные ограничения, есть возможность также изменить систему хранения данных. Персональные сведения можно хранить на российских серверах, а связанные с ними обезличенные данные обрабатывать за рубежом.

    Перечень мест хранения персональных сведений должен быть установлен приказом руководителя организации-оператора.

    Читайте так же:  Инструкция по судебному делопроизводству содержание

    Порядок

    Перечень мер, необходимых для обеспечения сохранности личных сведений, необходимо установить приказом руководителя организации-оператора. Оператор должен утвердить документ, содержащий перечень персональных данных, используемых в его деятельности. В этом перечне должны быть указаны документы, содержащие конфиденциальные сведения о гражданах, которые оператор представляет в различные государственные органы.

    Оператор должен назначить ответственных за работу с личными данными и ответственных за обеспечение их безопасности соответствующими приказами. Можно назначить ответственными как конкретного сотрудника, так и подразделение оператора. В последнем случае личную ответственность будет нести руководитель такого подразделения.

    Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством.

    Перечни документов, предусмотренные ФЗ от 22 октября 2004 г. № 125 «Об архивном деле в Российской Федерации», необходимо хранить в архиве в течение предусмотренных законодательством сроков.

    Сроки

    Операторы обязаны обеспечивать сохранность архивных документов в течение времени их хранения, установленных федеральными законами Российской Федерации. Хранение персональной информации после прекращения ее обработки допускается только после обезличивания.

    Документы передаются на хранение в архив с января года, который идет вслед за годом окончания использования документа. Документы, передаваемые в архив, имеют четкий срок хранения, который необходимо законодательно соблюдать.

    • временного хранения (до 50 лет);
    • постоянного хранения.

    Законодательство РФ четко регламентирует порядок сбора, обработки и хранения персональной информации. За исполнением законодательства в этой сфере следит Роскомнадзор. Этот орган имеет право проверять:

    • наличие разрешений субъектов на обработку их персональных сведений;
    • утверждение оператором организационных регламентов, устанавливающих порядок действий с такой информацией, и подписи сотрудников о знании их прав и обязанностей в этой области;
    • соблюдение условий хранения и защиты персональных данных оператором;
    • соответствие документации об обработке личных сведений требованиям законодательства.

    Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

    Источник: http://pravovoi.center/zpp/o-personalnyh-dannyh/obrabotka-i-hranenie.html

    Основания и порядок обработки персональных данных работника

    Из ст. ст. 86 — 87 ТК РФ можно выделить следующие основания для совершения представителями работодателя действий по обработке персональных данных работника.

    Одними из первых таких оснований названы обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества. Таким образом, действия по обработке персональных данных работника имеют подчиненный характер, так как они направлены на соблюдение существующих правил поведения. В соответствии со ст. ст. 2, 17, 18 Конституции РФ права и свободы человека и гражданина, в том числе в сфере труда, являются высшей ценностью, составляют смысл деятельности всех ветвей власти, органов местного самоуправления, их реализация отнесена к обязанностям государства. Таким образом, при применении рассматриваемого основания обработки персональных данных работника должна быть сделана ссылка на конкретный закон, положения которого выполняются при обработке персональных данных работника. При этом должно быть обеспечено преимущественное применение оснований, направленных на реализацию прав и законных интересов работников, в частности на содействие в трудоустройстве, продвижения по службе.

    Основанием для получения и применения иных способов обработки персональных данных является проверка возможности выполнения работником трудовых обязанностей. Данное основание применимо, когда возникают сомнения в возможностях работника выполнять трудовые обязанности вследствие состояния здоровья, наличия соответствующего образования.

    Перечень оснований для получения и применения иных способов обработки персональных данных работника следует признать исчерпывающим, поскольку такие основания должны быть предусмотрены в федеральном законе. Возможности получения дополнительных сведений о работнике на основании его волеизъявления также ограничены случаями, установленными в федеральном законе. В частности, такие сведения могут быть получены для содействия в трудоустройстве, обучении, продвижении по службе.

    По общему правилу, которое закреплено в ст. 88 ТК РФ, передача работодателем персональных данных работника другим лицам возможна только при наличии добровольного волеизъявления работника, подтвержденного его письменным заявлением. Исключение из этого правила составляют случаи, предусмотренные федеральным законом. К примеру, передача указанных сведений полномочным государственным органам с целью обеспечения безопасности работников.

    В ст. 89 ТК РФ перечислены основные права работников, которые связаны с порядком обработки работодателем его персональных данных. Работник должен быть ознакомлен с имеющимися у работодателя персональными данными, иметь к ним свободный и бесплатный доступ, включая право на получение копий любых данных, за исключением ограничений, установленных федеральным законом. Работник может требовать внесения дополнений или исправлений в неполные либо неверные данные о нем, а также исключения данных, полученных с нарушением федерального закона. Работник вправе представить свои письменные исправления персональных данных, а также дополнить в письменном виде персональные данные оценочного характера.

    Работник вправе обжаловать действия работодателя, связанные с обработкой его персональных данных, в судебном порядке.

    Учебник «Трудовое право России» Миронов В. И.

    Источник: http://hr-portal.ru/article/osnovaniya-i-poryadok-obrabotki-personalnyh-dannyh-rabotnika

    Организация работы с персональными данными

    С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

    Что такое персональные данные

    Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

    Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • пол;
    • адрес;
    • семейное положение;
    • должность (профессия);
    • зарплата, другие доходы;
    • владение недвижимым имуществом, денежные вклады и др.;
    • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
    • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
    • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • физиологические особенности, здоровье;
    • деловые и иные личные качества;
    • другие сведения.
    Читайте так же:  Дополнительный моральный вред

    Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

    Таблица 1. Документы, в которых содержатся персональные данные работников

    Оператор по обработке персональных данных

    Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

    Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

    • сбор;
    • запись;
    • систематизация;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передача (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение персональных данных.

    Положение о работе с персональными данными

    Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

    Таблица 2. Структура Положения о персональных данных работников

    Фрагмент Положения о персональных данных работников

    Введение Положения в действие

    Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

    Образец приказа

    Если есть профсоюз

    Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

    Ознакомление работников с Положением

    Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

    • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
    • — листе ознакомления с Положением (образец на с. 91);
    • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

    Образец листа ознакомления с локальными нормативными актами

    N
    п/п
    Наименование локального нормативного акта Дата Подпись
    1 Правила внутреннего трудового распорядка
    ООО «Черный лес»
    03.10.2011 Евстахов
    2 Положение об оплате труда, премировании и
    социальном обеспечении сотрудников ООО «Черный
    лес»
    03.10.2011 Евстахов
    3 Инструкция по информационной безопасности,
    утвержденная Приказом от 15.06.2008 N 1
    03.10.2011 Евстахов
    4 Положение о персональных данных 03.10.2011 Евстахов
    5 Положение о материальной ответственности
    работников за ущерб, причиненный ООО «Черный лес»
    03.10.2011 Евстахов

    Фрагмент журнала ознакомления с Положением о персональных данных

    N
    п/п
    Ф.И.О. работника Дата
    ознакомления
    Подпись
    1 Алексеева Диана Николаевна 15.08.2011 Алексеева
    2 . . .
    6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
    7 . . .
    8 . . .
    9 . . .

    Примечание. Срок хранения персональных данных

    Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

    Административная ответственность

    Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

    Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

    Нарушение Ответственность Норма
    законодательства
    Нарушение установленного законом
    порядка сбора, хранения,
    использования или распространения
    информации о гражданах
    (персональных данных)
    Для должностных лиц:
    от 500 до 1000 руб.;
    для юридических лиц:
    от 5000 до 10 000
    руб.
    Статья 13.11
    КоАП РФ
    Разглашение информации, доступ к
    которой ограничен (персональных
    данных), лицом, получившим к ней
    доступ в связи с исполнением
    служебных или профессиональных
    обязанностей
    Для должностных лиц:
    от 4000 до 5000 руб.
    Статья 13.14
    КоАП РФ

    Ответственный за организацию работы с персональными данными работников

    Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

    Образец приказа

    Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

    Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

    • начальника отдела кадров;
    • (старшего) инспектора по кадрам;
    • директора по персоналу;
    • заместителя начальника отдела (директора по персоналу);
    • специалиста по работе с персоналом.

    Может быть введена и новая должность.

    Автор: А.Ю.Тьевар, старший научный редактор журнала «Зарплата»

    Видео (кликните для воспроизведения).

    Источник: http://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

    Основание для обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here