Содержание
- 1 Оформляем документы для защиты личных данных работников
- 2 Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?
- 3 Защита персональных данных
- 4 Защита персональных данных в организации — пошаговая инструкция
- 5 Как организовать работу с персональными данными сотрудников
- 6 Защита персональных данных в организации пошаговая инструкция
- 7 Практика. Создание системы защиты персональных данных
Оформляем документы для защиты личных данных работников
С июля этого года Закон о персональных данны х Федеральный закон от 27.07.2006 «О персональных данных» (далее — Закон действует в новой редакци и ст. 3 Федерального закона от 25.07.2011 . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работник и п. 2 ст. 3 Закона . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.
Положение о персональных данных
Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работнико в п. 2 ч. 1 ст. 18.1 Закона ; п. 8 ст. 86, статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего — Положением о персональных данных.
Внимание
С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работнико в ч. 1 ст. 18 Закона ; п. 8 ст. 86, ст. 88 ТК РФ .
Вот что должно содержаться в Положении о ПД:
- перечень обрабатываемых П Д п. 2 ст. 3 Закона . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
- цели обработки П Д п. 2 ст. 3, ч. 2 ст. 5 Закона . Их можно переписать из Трудового кодекс а п. 1 ст. 86 ТК РФ ;
- перечень действий с П Д п. 2 ст. 3 Закона . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п . п. 3 ст. 3 Закона В принципе, работодатели могут предпринимать все из указанных в этом определении действий;
Рассказываем руководителю
За нарушение порядка обработки ПД предусмотрена административная ответственност ь ст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов Роскомнадзор а Решение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушени й п. 82 Административного регламента проведения проверок. утв. Приказом Роскомнадзора от 01.12.2009 № 630; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805; ФАС ВСО от 12.05.2011 № А33-10809/2010, от 05.04.2011 № А19-25289/09, Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафо в ст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательств а ч. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютс я Постановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .
- права и обязанности работников в сфере обработки П Д п. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодекс а ст. 14 Закона ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработк е ч. 1 ст. 14, ч. 1 ст. 18, ч. 1 ст. 20 Закона ;
- порядок обработки ПД, в том числе хранения, использования и передач и п. 8 ст. 86, статьи 87, 88 ТК РФ . Здесь нужно указать:
— общие требования к обработке П Д статьи 5—7, ст. 9 Закона ; ст. 86, ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самог о п. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сбор а ч. 4 ст. 5 Закона ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работник а ст. 7 Закона ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки П Д п. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работника м ст. 88 ТК РФ ;
— состав и перечень ваших мер по обеспечению защиты П Д ст. 18.1, ст. 19 Закона . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;
- ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственност ь ст. 90 ТК РФ; ч. 1 ст. 24 Закона .
Совет
Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.
Приказ о назначении ответственного лица
Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки П Д ч. 1 ст. 22.1 Закона .
К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.
Для назначения ответственного работника издайте об этом приказ. Например, такой.
Источник: http://glavkniga.ru/elver/2011/24/348-oformljaem_dokumenti_zaschiti_lichnikh_dannikh_rabotnikov.html
Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?
Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.
Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.
Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.
Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !
Какой комплект бумаг должен быть в организации?
Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:
- Перечень обрабатываемых ПД.
- Приказ о назначении комиссии по защите.
- План мероприятий по защите.
- Положение о комиссии по защите.
- Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
- Согласие на ОПД.
- Перечень информационных систем.
- Обязательство о неразглашении.
- Соглашение о соблюдении безопасности.
- Перечень средств защиты информации.
- Техпаспорт информационных систем.
- Перечень помещений.
- Приказ о назначении ответственных лиц.
- Положение об ОПД.
- Положение по защите.
- Политика в отношении ОПД.
- Инструкция ответственного лица.
- Инструкция администратора безопасности.
- Регламент определения уровней защищенности.
- Техзадание на систему защиты.
- Модель угроз безопасности.
- Акт определения уровней защищенности.
- Протокол определения ущерба субъекту ПД.
- Уведомление об ОПД.
- Инструкция пользователя информационных систем.
- Регламент учета, хранения и уничтожения носителей.
- Регламент допуска сотрудников и других лиц.
- Регламент реагирования на запросы субъектов ПД.
- Регламент резервного копирования.
- Регламент проведения контрольных мероприятий.
- Регламент по трансграничной передаче данных.
И некоторые другие документы в зависимости от специфики деятельности оператора.
Образцы и бланки
Ниже приведены бланки и образцы документов по обработке персональных данных:
Что содержит пакет сопровождающей документации?
Для каждого из этих действий предусмотрены нормативные документы.
Сбор и обработка
- Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
- Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
- Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
- Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
- Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
- Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
- Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.
Хранение
Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.
Защита
- Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
- О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
- Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
- Приказ о назначении лиц, ответственных за обработку и защиту.
- Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
- Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
- ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.
Передача
- Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
- Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
- Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.
Разглашение
Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.
К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.
Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:
+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !
Защита персональных данных
Персональные данные работника – это сведения, которые запрашивает работодатель при оформлении трудовых отношений с физлицом. Согласно статье 86 ТК РФ, при обработке информации о сотруднике работодатель обязан соблюдать ряд общих требований и руководствоваться Конституцией РФ, Трудовым кодексом и другими федеральными законами.
Защита персональных данных в организациях
При официальном трудоустройстве гражданин предоставляет работодателю сведения о себе: реквизиты паспорта, информацию об образовании, семейном положении, трудовом опыте. Все это – конфиденциальная информация. Следовательно, защита персональных данных – прямая обязанность каждого работодателя.
Работодатель не имеет права запрашивать у работника данные о его политических, религиозных и иных убеждениях, членстве в общественных объединениях. Обработка и защита персональных данных реализуются по правилам, установленным главой 14 ТК РФ.
Как осуществляется защита персональных данных в организации: пошаговая инструкция
Кроме сведений, полученных при поступлении на работу, во время трудового процесса у работодателя накапливается информация о сотруднике, которая требует обработки и охраны. Для того чтобы организовать защиту персональных данных работника, нужно в первую очередь составить ряд документов. Работодатель обязан ознакомить сотрудников с Положением по работе с персональными данными, а также получить их письменное согласие на сбор и хранение информации.
Для защиты персональных данных работника могут понадобиться такие документы:
- акты уничтожения носителей информации, результатов проверки;
- инструкции;
- письма;
- приказы (о проверках, о назначении ответственных, об организации обработки информации);
- журналы учета;
- уведомления.
Все перечисленные документы можно подготовить с помощью нашего онлайн-сервиса, заполнив соответствующие шаблоны.
Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/
Защита персональных данных в организации — пошаговая инструкция
Должностные инструкции по защите персональных данных можно сгруппировать следующем образом:
- Для администратора ИСПДн и администратора по информационной безопасности.
- Для пользователя (при возникновении внештатной ситуации или при работе с ИСПДн).
Инструкции по защите персональных данных могут регламентировать порядок пользования информационной системой, организацию антивирусной защиты, обработку конфиденциальной информации без средств автоматизации, план проверок режима защиты персональных данных.
Предлагаем вам составить и скачать инструкцию для администраторов ИСПДн и других сотрудников, использующих в работе персональные данные.
Источник: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/
Как организовать работу с персональными данными сотрудников
Упомянутые в статье разъяснения Роскомнадзора можно найти:
Ознакомьте работника с Положением о работе с персональными данными
Положение о работе с персональными данными (Положение) — это локальный нормативный акт, который обязательно должен быть в организаци и ст. 87 ТК РФ; п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ (далее — Закон № 152-ФЗ) . В нем подробно прописываются правила обработки, хранения и использования организацией персональных данных (ПД) работников компании. Если в организации не будет принято такое Положение, ее и генерального директора могут привлечь к административной ответственност и ст. 5.27 КоАП РФ .
Универсальной формы этого документа нет, поэтому каждая организация должна самостоятельно разработать и утвердить его. Обычно Положение состоит из следующих разделов.
Общие положения. В этом разделе нужно прописать цели принятия Положения, например: «Определить порядок обращения с персональными данными работников». Также нужно перечислить, что относится к таким данным. Нужные формулировки можно взять из ст. 3 Закона № 152-ФЗ.
Основные понятия. Все понятия можно взять также из ст. 3 Закона № 152-ФЗ.
Состав персональных данных. В этом разделе необходимо перечислить, какие документы содержат персональные данные работников. Например, это:
• документы, необходимые для заключения трудового договора;
• оригиналы и копии приказов и распоряжений;
• личные дела и трудовые книжки;
• налоговая, статистическая и иная отчетность.
Работодатель должен не только стоять на защите персональных данных работников, но и обезопасить себя. Поэтому лучше оформлять согласие на обработку ПД даже тогда, когда законодательство этого не требует
Обработка персональных данных. Под обработкой персональных данных подразумеваются действия с ними, в том числе их сбор, накопление, систематизация, хранение, использовани е п. 3 ст. 3 Закона № 152-ФЗ , удаление и уничтожение. В этом разделе нужно назвать условия, которые должны соблюдаться при обработке персональных данных. Их можно переписать из ст. 6 Закона № 152-ФЗ.
Передача персональных данных. В этом разделе укажите, по каким правилам вы передаете персональные данные работников внутри организации и третьим лицам, а также получаете сведения от этих лиц. Тут же нужно указать, где и как хранятся персональные данные. Чаще всего они хранятся и обрабатываются в отделе кадров и бухгалтерии в бумажном или электронном виде.
Доступ к персональным данным. В этом разделе нужно указать, кто из сотрудников имеет доступ к персональным данным. Обычно это руководитель организации, сотрудники бухгалтерии и отдела кадров, начальник структурного подразделения, где работает человек, чьи персональные данные обрабатываются.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. В этом разделе нужно указать, что работники компании, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственност ь ст. 90 ТК РФ .
Ознакомьте всех работников (в том числе и тех, кого только принимаете на работу) с Положение м ч. 2 ст. 22, ст. 68 ТК РФ . Подтверждением того, что работник с ним ознакомился, будет его подпись:
• или в трудовом договоре, если в нем есть ссылка на Положение;
• или в листе ознакомления с Положением;
• или в журнале ознакомления с локальными актами.
Не стоит путать Положение о работе с персональными данными с Политикой обработки персональных данных, определяющей цели и общие принципы обработки, а также методы защиты всех (а не только полученных от работников) персональных данных. О том, как составить Политику обработки персональных данных, мы рассказали в статье «Как составить Политику обработки персональных данных» (см. , 2018, № 22).
Получите согласие работника на обработку персональных данных
Согласие на обработку ПД нужно получить, когда организации требуется информация о работнике, помимо той, которая необходима, чтобы заключить и исполнить трудовой договор. Так, не требуется согласие на обработку персональных данных работника или соискателя, если они получен ы п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона № 152-ФЗ ; абз. 1 Разъяснений Роскомнадзора от 24.12.2012 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» (далее — Разъяснения) :
• из документов, предъявляемых при заключении трудового договора (паспорт, трудовая книжка, свидетельство пенсионного страхования, документы воинского учета, документы об образовании);
• по результатам обязательного предварительного медицинского осмотра, удостоверяющего состояние здоровь я ст. 69 ТК РФ; п. 3 Разъяснений ;
• от кадрового агентства, действующего от имени соискател я абз. 12 п. 5 Разъяснений ;
• из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц п. 10 ч. 1 ст. 6 Закона № 152-ФЗ ; абз. 12 п. 5 Разъяснений ;
• при обработке персональных данных близких родственников в объеме, предусмотренном унифицированной формой № Т-2 утв. Постановлением Госкомстата от 05.01.2004 № 1 , либо в случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выпла т) п. 2 Разъяснений .
За обработку персональных данных работника без его письменного согласия организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а ее руководителя — от 10 000 до 20 000 руб. ч. 2 ст. 13.11 КоАП РФ
Но потребуется письменное согласие:
• для получения ПД работника у третьей сторон ы п. 3 ст. 86 ТК РФ ;
• для передачи ПД работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника, а также в иных предусмотренных федеральными законами случаях, например для целей исполнительного производства, персонифицированного учета или расследования преступлени й абз. 2 ст. 88 ТК РФ; п. 4 ч. 1 ст. 13 Закона от 07.02.2011 № 3-ФЗ ; п. 2 ч. 1 ст. 64 Закона от 02.10.2007 № 229-ФЗ ; ст. 9 Закона от 01.04.96 № 27-ФЗ ;
• для обработки специальных категорий ПД работника. К таким данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизн и п. 4 ст. 86 ТК РФ; п. 1 ч. 2 ст. 10 Закона № 152-ФЗ .
А в принципе, имеет смысл всегда оформлять письменное согласие на обработку ПД, поскольку при возникновении спора именно работодатель должен доказать получение согласия работника на обработку его персональных данны х ч. 3 ст. 9 Закона № 152-ФЗ .
Как оформить согласие на обработку персональных данных
Согласие работника на обработку персональных данных должно быть «конкретным, информированным и сознательным». Согласие, содержащее, например, формулировку «Согласен, чтобы компания обрабатывала все мои персональные данные до окончания трудового договора», таким требованиям соответствовать не будет. А это значит, что согласие вы не получили.
Согласие должно быть оформлено на конкретные действия с персональными данными. Правда, это не значит, что на каждую операцию с ПД нужно получать отдельный документ. В одном согласии можно предусмотреть сразу несколько действий с персональными данным и ч. 1 ст. 9 Закона № 152-ФЗ .
![]() |
Видео (кликните для воспроизведения). |
Согласие должно содержать обязательные сведения. Если их не будет, организацию могут оштрафовать на сумму от 15 000 до 75 000 руб., а генерального директора — от 10 000 до 20 000 руб. ч. 2 ст. 13.11 КоАП РФ
В согласии на обработку ПД обязательно укажит е ч. 4 ст. 9 Закона № 152-ФЗ :
• ф. и. о., адрес работника;
• реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;
• наименование и адрес вашей компании;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дает согласие работник;
• перечень действий с персональными данными, на совершение которых работник дает согласие;
• способы обработки персональных данных, которые вы используете.
Согласие на обработку персональных данных
Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на обработку в документальной и (или) электронной форме моих персональных данных для оформления информационного стенда.
Перечень моих персональных данных, на обработку которых я даю согласие:
— фамилия, имя, отчество;
— фотография;
— пол;
— образование, квалификация, повышение квалификации;
— трудовая деятельность в ООО «Ватрушка».
Настоящее согласие действует в течение всего срока трудового договора. В согласии на обработку персональных данных должен быть указан срок, в течение которого оно действуе т п. 8 ч. 4 ст. 9 Закона № 152-ФЗ . Срок действия согласия можно обозначить цифрой, например 5 лет. Допустимо также указать, что согласие действует:
• до расторжения трудового договора;
• до момента, когда будет достигнута цель обработки;
• до момента, пока сотрудник не отзовет согласие
Настоящее согласие может быть отозвано мной в письменной форме. Согласие также должно содержать условие о том, каким способом работник вправе его отозват ь п. 8 ч. 4 ст. 9 Закона № 152-ФЗ
05.09.2018 |
Согласие на обработку ПД работник должен подписать личн о ч. 4 ст. 9 Закона № 152-ФЗ
Как передать ПД работника третьему лицу
Работодатель не вправе передавать третьим лицам ПД работника без его согласи я ч. 1 ст. 88 ТК РФ; ст. 7 Закона № 152-ФЗ . Исключением являются ситуации, когда необходимо предупредить угрозу жизни и здоровью работника, а также в иных, прямо предусмотренных законом случая х ст. 88 ТК РФ . Например, не требуется согласие, чтобы обрабатывать ПД для целей налогового и бухгалтерского учета, воинского учета или в рамках персонифицированного учета для целей пенсионного страховани я пп. 2— 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона № 152-ФЗ ; абз. 6— 10 п. 5 Разъяснений; ст. 9 Закона от 01.04.96 № 27-ФЗ ; ст. 4 Закона от 28.03.98 № 53-ФЗ . Если же работник подал заявку на кредит или получение иностранной визы, подтвердить банку или визовому центру информацию о должности и о заработной плате работника вы можете только при наличии его письменного согласия.
Но передать в банк персональные данные работника для выплаты заработной платы в определенных случаях можно и без его разрешения. Это возможно, когд а абз. 11 п. 4 Разъяснений :
• или договор на выпуск банковской карты был заключен банком напрямую с работником и в тексте есть положения, которые предусматривают передачу его данных;
• или у работодателя есть доверенность и он вправе представлять интересы работника при заключении договора с банком;
• или форма и система оплаты труда прописаны в коллективном договоре.
Если организация передает третьему лицу персональные данные работника не в рамках трудовых отношений (например, аудиторам для проверки), она обязана уведомить об этом Роскомнадзор по определенной форм е ч. 1, 2 ст. 22 Закона № 152-ФЗ ; приложение № 1 к Приказу Роскомнадзора от 30.05.2017 № 94 . Уведомление подаетс я ч. 3 ст. 22 Закона № 152-ФЗ :
• или в бумажном виде в адрес территориального органа Роскомнадзора;
Из согласия работника должно четко следовать, кому будут переданы его персональные данные и с какой целью. Кроме того, необходимо предупредить лицо, получающее ПД работника, о том, что эти данные могут быть использованы только в целях, для которых они сообщены, и потребовать от него подтверждение того, что это правило соблюден о ч. 1 ст. 88 ТК РФ .
Согласие на передачу персональных данных
Я, Иванов Петр Васильевич, паспорт серии 32 12, номер 634789, выдан 06.07.2013 УФМС России по Курской обл. в Курском районе, проживающий по адресу: г. Курск, просп. Дружбы, д. 33, в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие ООО «Ватрушка», расположенному по адресу: г. Курск, ул. Черняховского, д. 12, на передачу в ПАО «Банк»: фамилии, имени, отчества; должности; размера заработной платы.
Цель передачи и обработки: получение кредита.
Срок действия согласия: две недели, следующие за днем получения кредита.
Защита персональных данных в организации пошаговая инструкция
Если сайтом владеет юридическое лицо, закон предъявляет определенные требования к уровню защиты ПДн: вам нужно определить категорию, назначить ответственных, получить разрешения у контролирующих органов и зарегистрироваться в качестве оператора персональных данных.
Также вам необходимо будет обеспечить информационную защиту персональных данных при помощи фаерволов и антивирусных программ. Также вы можете обратиться в специальные дата-центры или заказать защищенное хранение данных в облаке или у специализированных провайдеров.
Набор конкретных мер зависит от необходимого уровня защищенности. Если вы не передаете результаты медицинских анализов и биометрические данные, то скорее всего ваш уровень защищенности — УЗ-3 или ниже. Таблица требований по обеспечению мер безопасности в соответствии с уровнем защищенности приведены в Приказе ФСТЭК России № 21 от 18.02.2013 г.
Дополнительные материалы по теме
- Пояснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
- Ответы на вопросы об обработке персональных данных от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
- Бланк Согласия на обработку персональных данных.
- Бланки уведомлений, электронные формы заявлений и примеры заполненных образцов от Роскомнадзора.
- Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Нарушения и штрафы
Ответственность за нарушения закона несет оператор персональных данных, определение которого дано в 152-ФЗ:
«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;»
Санкции за нарушение закона о персональных данных указаны в статье 13.11 КоАП РФ
Статья 13.11 КоАП ч. 1
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.
Статья 13.11 КоАП ч. 2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Статья 13.11 КоАП ч. 3
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.
Статья 13.11 КоАП ч. 4
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
Статья 13.11 КоАП ч. 5
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Статья 13.11 КоАП ч. 6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
Статья 13.11 КоАП ч. 7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
Сравнение с GDPR
GDPR (General Data Protection Regulation, Генеральный регламент о защите персональных данных) — постановление Европейского союза, которое усиливает и унифицирует защиту персональных данных всех лиц в Европейском союзе. Вступил в силу 25 мая 2018 года.
Цель GDPR — дать гражданам контроль над их персональными данными и упростить нормативную базу для международных экономических отношений. Постановление также устанавливает ограничительные и контролирующие меры на трансграничную передачу данных.
GDPR актуален для тех, кто работает на территории Европейского союза или вступает в отношения с гражданами ЕС. То есть, если ваш интернет-магазин продает что-либо гражданам ЕС, то вы также подпадаете под действие данного нормативного акта. Кроме того, GDPR регулирует мониторинг онлайн-активности граждан ЕС, то есть, если вы собираете cookies пользователей из ЕС, вы попадаете под действие GDPR.
Основное отличие 152-ФЗ — в том, что GDPR распространяется не на все российские компании, а лишь на те, которые работают с гражданами ЕС. Второй важный момент: GDPR разрешает перенос персональных данных между компаниями по запросу пользователя. Третье отличие: в случае утечки данных оператор должен уведомить контролирующие органы в течение 72 часов, а затем и субъектов персональных данных, чьи интересы могут быть затронуты.
Соблюдение правил работы с персональными данными — насущная необходимость для каждого владельца сайтов. Причем в первую очередь нужно соблюсти требования Роскомнадзора, поскольку он проводит тысячи проверок в год. Как минимум владельцы сайта должны размещать уведомление о сборе данных, получать на него согласие и давать пользователям всю необходимую информацию в соответствующем документе.
Если владелец сайта — юридическое лицо, ситуация осложняется, поскольку необходимо подготовить пакет документов и соблюсти ряд процедур. Документы можно подготовить самостоятельно, с помощью юриста, системного интегратора или автоматизированных сервисов. Это может потребовать дополнительных расходов, однако несоблюдение правил обойдется значительно дороже. При этом выполнить требования закона нужно будет всего один раз.
Источник: http://www.uplab.ru/blog/processing-and-protection-of-personal-data/
Практика. Создание системы защиты персональных данных
Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.
Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.
Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.
Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:
- Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
- Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
- Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
- Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
- Разработка технического задания на создание системы защиты персональных данных.
- Приобретение средств защиты информации.
- Внедрение системы защиты персональных данных.
- Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Обеспечьте защиту персональных данных в вашей компании
Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.
Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.
Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.
Модель угроз безопасности ПДн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
- внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
- внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Определение уровня защищенности ПДн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Построение системы защиты персональных данных
В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.
Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:
Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.
ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Выводы
Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.
Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.
Рекомендации по защите персональных данных
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
![]() |
Видео (кликните для воспроизведения). |
Источник: http://kontur.ru/articles/1723
Опытный специалист в области юриспруденции, стаж работы — 14 лет.