Каковы цели обработки персональных данных в организации?

Какова цель обработки персональных данных?

Предоставляя сведения о себе, человек должен быть уверен, что личная информация не будет передана третьим лицам без его согласия. Российское Законодательство предупреждает такие ситуации и защищает права и свободы граждан.

Конституция РФ и Федеральный Закон «О персональных данных» № 152 от 27.01.2006 г. регулируют работу с личными сведениями о гражданине, признавая его права на неприкосновенность частной жизни, на личную и семейную тайны.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152.

Данные клиента могут использованы для:

  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152. Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Правовое обоснование и необходимость обработки персональных данных в организации

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов. Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Определение целей обработки персональных данных и способов работы с ними

Работа с личной информацией должна выполняться в строгом соответствии с законодательством. В частности, одним из основополагающих принципов обработки личных сведений является четкое соблюдение целей использования, заявленных в разрешении от владельца, и оговоренных в нем объемов.

Понятие персональных данных и принципов их обработки

Закон 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Он начал действовать с 23 января 2007 года. До его вступления в силу такая информация не имела юридической защиты.

В нем определено понятие того, что относится к данной категории ведомостей. Как сформулировано в статье 3 закона 152-ФЗ, персональные сведения включают в себя всё, что имеет отношение к конкретному человеку. Причём сюда входят те, которые имеют к нему прямое отношение и те, которые имеют только косвенное.

Читайте также:  Расторжение трудового договора по соглашению сторон

Нормативный акт регламентирует деятельность юридических и физических лиц, которые занимаются сбором сведений о различных людях. В частности, получить всё это в большинстве случаев возможно, только если получено согласие человека, о котором идет речь. Однако, предусмотрены отдельные случаи, когда информация может быть получена без такого согласия. Они перечислены в статье 6 закона № 152-ФЗ.

Одно из положений устанавливает требование, согласно которому все персональные сведения о гражданах Российской Федерации должны находиться на серверах, расположенных на территории страны. Не разрешается пополнять свою информацию на основе той, которая взята с сайтов, расположенных вне российских границ.

В случае отказа такой человек имеет право обратиться в суд.

Согласие на обработку персональных данных

Такой документ должен содержать следующие разделы:

  1. В документе указывается, кто выражает согласие, указываются паспортные данные.
  2. Даётся наименование оператора, которому даётся разрешение.
  3. Пишут, для каких целей обработки даётся согласие.
  4. Конкретно перечисляется список данных, на обработку которых даётся разрешение.
  5. Перечисляются все операции с ними, о которых идёт речь.
  6. Период времени действия разрешения.
  7. Ставится подпись, ее расшифровка и дата.

Составленное разрешение согласно образцу, даёт разрешение только на то, что в нем конкретно указано.

Цели обработки

Использование рассматриваемых сведений необходимо для:

  1. Ведения документов в отделе кадров.
  2. Заключения договоров и выполнения других юридических действий.
  3. В связи с выполнением требований налогового законодательства.
  4. Других целей аналогичного рода.

При этом надо заметить, что:

  • в каждом таком случае получение информации определяется нормативными актами;
  • оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.

Примеры целевого использования личных сведений

В различных сферах экономики и общественной жизни персональные данные граждан жизненно важны.

В медицинском учреждении важно знать подробности о здоровье человека в течение всей его жизни. При этом обладателем персональных сведений является пациент. Оператор, который их использует — поликлиника или другое медучреждение. Она обязана получить разрешение Роскомнадзора для обработки. Если поликлиника передаёт данные, например, в специализированную больницу, она должна получить письменное согласие гражданина.

Для банка жизненно важно при предоставлении кредита обоснованно предположить, будет ли способен кандидат вернуть одолженные деньги или у нет подходящих финансовых ресурсов. Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие. Владельцем информации является клиент. Банк — это оператор, который проводит обработку. Клиент имеет право отозвать разрешение на пользование сведениями о нём. Цели работы с информацией — обеспечение выполнения требований банковского законодательства РФ.

Без предоставления этой или подобной информации обойтись нельзя. Но при этом важно, чтобы её использование не нарушало требований действующих нормативов.

Правила и принципы работы с информацией

Закон №152-ФЗ формулирует основные принципы, на которых необходимо основываться, работая с персональными ведомостями граждан:

  1. Делаться это должно на основе справедливости и законности. В частности, это означает, что каждый раз, когда кто-либо собирает или обрабатывает рассматриваемые материалы. У него должно быть законное основание для таких действие, а также согласие того, к кому эта информация относится.
  2. Есть ограничение, которое относится к целям обработки. То есть подробности о человеке могут собираться только с конкретными, заранее определёнными целями. Когда происходит обработка, то для других направлений деятельности эти данные использовать запрещено.
  3. Каждый способ работы с личными материалами подразумевает, что они должны быть строго определённого вида и их объем должен соответствовать заявленным целям и не быть избыточным. Это означает, что у человека нельзя запрашивать ведомостей о нем больше, чем необходимо для конкретного случая.
  4. Важным принципом является требование о том, чтобы сведения соответствовали определённым критериям. Они должны быть точны и полны, не могут быть устаревшими, полученными незаконно или такими, которые не соответствуют заявленным целям. Если получена информация, которая указанным характеристикам не соответствует, оператор обязан её уничтожить.
  5. Для такой работы установлены строгие временные рамки. Ведомости могут собираться, храниться и обрабатываться только до того момента, когда заявленная для этого цель выполнена. После этого может быть сделано одно из двух действий: она может быть сделана обезличенной или должна быть уничтоженной.

В каждой организации в той или иной форме происходит работа с персональными данными работников. Однако она должна происходить только в рамках, которые определены российским законодательством.

Обычно такой документ носит название «Положение об обработке персональных данных на предприятии». Стандартно, такой документ включает в себя следующие разделы:

  1. Объяснение, с какой целью составлен и принят такой документ.
  2. Перечень нормативных актов, на которых основано его действие.
  3. Точные формулировки юридических понятий, которые используются далее.
  4. Конкретные правила обработки таких материалов. Сначала перечисляются цели использования (обычно, они ограничиваются различными кадровыми вопросами).
  5. Порядок получения информации у самого субъекта, его законного представителя, третьих лиц. При этом должно быть получено согласие сотрудника.
  6. Требование об ограничении видов и глубины получения данных рамками конкретных ситуаций. При этом даётся список таких ситуаций.
  7. Запрет на получение избыточных подробностей о сотрудниках (обычно в этом случае речь идёт о национальности, религиозной принадлежности и т.п.).
  8. Отмечается также, что на основании полностью автоматизированных процедур не будут приниматься такие решения, у которых будут юридические последствия для субъекта.
  9. Обеспечение неразглашения имеющейся информации.
  10. Указывается, что получение персональных данных может быть сделано только в случае получения письменного согласия гражданина на это.
  11. Образец такого разрешительного документа.
  12. Регламент для всех процедур на предприятии, которые связаны с проведением обработки персональных сведений.

Этот документ устанавливает порядок работ в указанной сфере на конкретном предприятии.

Понятие об обезличенных персональных данных и правила работы с ними

Считается, что ведомости, которые были собраны и нужда в которых отпала, должны быть уничтожены или обезличены. Как поступать с ними — для государственных учреждений рассмотрено в Методических рекомендациях к Приказу Роскомнадзора №996:

  1. Установка абстрактных идентификаторов вместо имён и фамилий и других объектов, позволяющих точно определить субъекта такой информации.
  2. Изменение состава ранее собранного для работы.
  3. Применение хранения по частям. При этом каждая часть не даёт возможность установить владельца.
  4. Использование перемешивания информации по специальному алгоритму. При этом по итоговым таблицам невозможно установить первоначально собранные материалы.

Можно понять, что случайному лицу непосредственно из обезличенной информации нельзя получить исходные тексты. Однако сама эта организация восстановить его впоследствии сможет.

Нарушения, связанные с нецелевым использованием персональных данных

Начиная с 1 июля 2017 года в КоАП внесены изменения в статью 13.11, которые определяют ответственность за нарушение закона №152-ФЗ. При нарушении установленных правил закон предусматривает соответствующие наказания.

Если собирается информация в тех случаях, когда для этого нет законного основания или производится обработка с незаконными целями, налагается штраф. Для физических лиц сумма составит от 1 до 3 тысяч руб., должностные лица заплатят от 5 до 10 тысяч руб., предприятия — от 30 до 50 тысяч руб.

Если имело место разглашение информации, штраф начисляется в связи с каждым отдельным таким случаем. Он может составлять от 500 до 1000 руб. с сотрудника, по чьей вине произошло нарушение. Если речь идёт об организации, которая несёт ответственность за происшедшее, то сумма возрастает. Теперь она может составить от 5 до 10 тысяч руб.

В рассматриваемом нормативном акте указано, что соблюдение положений закона 152-ФЗ должен контролировать Роскомнадзор. До начала обработки по статье 22 Закона о защите персональных данных он должен отослать туда уведомление. В частности, он проводит соответствующие проверки и, если выявляются нарушения, выдаёт предписание о недостатках, которые требуется устранить. Если распоряжение не выполнено, на виновного налагается штраф, который может составлять 20 тысяч руб.

О том, как правильно организовать работу с чужими данными, расскажет автор следующего ролика.

Цели обработки персональных данных в организации

Российским законодательством достаточно четко регламентируются вопросы установления целей обработки персональных данных в организации. При этом на работодателей и сотрудников предприятия возлагаются определенные обязанности, напрямую связанные с вопросами обработки личной информации других трудящихся или третьих лиц, несоблюдение которых может привести к негативным последствиям для субъекта хозяйствования, вплоть до привлечения виновных к дисциплинарной, гражданской, административной и уголовной ответственности.

Цель обработки персональных данных в организации — правовое регулирование

С точки зрения российского законодательства, с целью соблюдения требований Конституции РФ, а также международных нормативно-правовых актов, в которых участвует Российская Федерация, личная информация граждан и иностранцев, должна быть защищена от незаконных операций с ней. В вопросах трудовых взаимоотношений ключевое значение для определения действующих юридических нормативов, затрагивающих любые виды операций с личными сведениями, имеют следующие положения нормативно-правовых документов и актов:

  • ФЗ №152 от 27.07.2006. Данным законом регламентируются основные общие принципы обращения с информацией, составляющей личные сведения о любом человеке, в том числе и в вопросах осуществления трудовых взаимоотношений, но не ограничиваясь ими.
  • Ст.81 регламентирует принципы увольнения сотрудников по инициативе работодателя, в том числе и за грубые дисциплинарные нарушения, к которым можно отнести разглашение персональных данных трудящимся.
  • Ст.86 обеспечивает регулирование общих принципов обеспечения защиты личной информации работников.
  • Ст.87 посвящена нормативам использования и хранения рассматриваемых данных в рамках трудовых взаимоотношений.
  • Ст.88 устанавливает принципы, по которым может осуществляться передача личной информации при ведении трудовой деятельности.
  • Ст.89 посвящена основным правам трудящихся касательно сведений, относимых к персональным.
  • Ст.90 регламентирует ответственность за нарушение установленного законом порядка работы с личными данными.
Читайте также:  Увольнение пенсионера по инициативе работодателя

Общие цели обработки персональных данных сотрудников в организации

Вне зависимости от конкретных принципов, которые могут быть установлены в компании, каждый работодатель в обязательном порядке преследует общие для трудовых взаимоотношений цели при обработке персональных данных в организации. К таковым общим целям можно отнести:

Документальное оформление трудовых взаимоотношений в соответствии с требованиями законодательства. При заключении трудового договора, работодатель получает доступ и проводит обработку персональных данных соискателя в любом случае. Поэтому таковая цель обработки личной информации является одной из основных.

  • Ведение кадрового делопроизводства и учета на предприятии. Каждый работодатель обеспечивает хранение трудовых книжек работников, их личных карточек или же личных дел и внесение изменений в означенные документы.
  • Налогообложение и уплата страховых сборов. В Российской Федерации именно на работодателей возлагается обязанность по уплате налогов за своих трудящихся и страховых сборов в систему пенсионного и социального страхования.
  • Выполнение иных действий, связанных с исполнением требований законодательства в отношении учета, сбора и передачи информации, которая может включать в себя и личные сведения трудящихся.
  • Исполнение требований уполномоченных органов, например, правоохранителей, когда они требуют доступ к личной информации сотрудника.
  • Во всех вышеозначенных ситуациях обработке подлежат общедоступные данные работника, которые непосредственно необходимы для решения соответствующих вопросов. При этом истребовать согласие сотрудника на обработку означенных данных нет необходимости — само желание его заключить трудовой договор свидетельствует о подобном согласии. В отношении биометрических и иных личных сведений согласие работника не требуется только при обращении уполномоченных органов.

    Другие возможные цели обработки персональных данных трудящегося

    Личные сведения могут собираться работодателями не только в целях исполнения прямых требований российского законодательства, но и для решения других задач. В частности, работодатель может самостоятельно регламентировать порядок и принципы обработки информации о трудящихся. Он обязан лишь ознакомить потенциальных сотрудников с таковым порядком. Например, личные данные могут собираться и использоваться для оформления служебных удостоверений. Также в рамках учета рабочего времени может использоваться сбор сведений о сотрудниках и их затратах рабочего времени в рамках хронометража или использования автоматизированных систем учета.

    Помимо этого, работодатель также может затребовать от работников доступ к их биометрическим данным. Например — также для обеспечения работы систем пропуска. Или же — для изготовления рабочей униформы или средств индивидуальной защиты.

    Во всех вышеозначенных ситуациях работодатель обязан прежде, чем проводить обработку сведений трудящегося, получить согласие на такие действия. При этом если соискатель отказывается от дачи такового, работодатель вправе не заключать с ним трудовой договор. Однако, все сведения, обрабатываемые и собираемые работодателем, должны использоваться исключительно в соответствии с установленными локальными нормативными актами и только в объемах, необходимых для решения поставленных задач.

    Организация работы с персональными данными

    С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

    Что такое персональные данные

    Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

    Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • пол;
    • адрес;
    • семейное положение;
    • должность (профессия);
    • зарплата, другие доходы;
    • владение недвижимым имуществом, денежные вклады и др.;
    • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
    • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
    • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • физиологические особенности, здоровье;
    • деловые и иные личные качества;
    • другие сведения.

    Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

    Таблица 1. Документы, в которых содержатся персональные данные работников

    NДокументСведения
    1Анкета, автобиография, личный
    листок по учету кадров
    (заполняется при приеме на
    работу)
    Анкетные и биографические данные
    работника
    2Копия документа,
    удостоверяющего личность
    работника
    Ф.И.О., дата рождения, адрес
    регистрации, семейное положение,
    состав семьи
    3Личная карточка (форма N Т-2,
    утверждена Постановлением
    Госкомстата России
    от 05.01.2004 N 1)
    Ф.И.О. работника, место его рождения,
    состав семьи, образование, а также
    данные документа, удостоверяющего
    личность
    4Трудовая книжкаСведения о трудовом стаже, предыдущих
    местах работы
    5Копии свидетельств о заключении
    брака, рождении детей
    Состав семьи, изменения в семейном
    положении
    6Документы воинского учетаИнформация об отношении работника к
    воинской обязанности, необходимая
    работодателю для осуществления
    воинского учета работников
    7Справка о доходах с предыдущего
    места работы
    Ф.И.О., данные о сумме дохода и
    удержанного НДФЛ
    8Документы об образованииПодтверждают квалификацию работника,
    обосновывают занятие определенной
    должности
    9Документы обязательного
    пенсионного страхования
    Ф.И.О., личные данные
    10Трудовой договорСведения о должности работника,
    заработной плате, месте работы,
    рабочем месте, а также иные
    персональные данные работника
    11Приказы по личному составуИнформация о приеме, переводе,
    увольнении и иных событиях,
    относящихся к трудовой деятельности
    работника

    Оператор по обработке персональных данных

    Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

    Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

    • сбор;
    • запись;
    • систематизация;
    • накопление;
    • хранение;
    • уточнение (обновление, изменение);
    • извлечение;
    • использование;
    • передача (распространение, предоставление, доступ);
    • обезличивание;
    • блокирование;
    • удаление;
    • уничтожение персональных данных.

    Положение о работе с персональными данными

    Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

    Таблица 2. Структура Положения о персональных данных работников

    NОбязанностьСодержание раздела
    1Общие положенияЦель принятия Положения
    Вопросы, которые регулирует Положение
    Ссылки на нормативные акты. Указывают, на
    основании каких документов составляется
    Положение.
    В организациях, где работают государственные
    гражданские служащие, дается ссылка на:
    – Федеральный закон от 27.07.2004 N 79-ФЗ
    “О государственной гражданской службе Российской
    Федерации”;
    – Указ Президента РФ от 30.05.2005 N 609 “Об
    утверждении Положения о персональных данных
    государственного гражданского служащего
    Российской Федерации и ведении его личного
    дела”;
    – нормативные акты субъекта РФ
    2Основные понятия.
    Состав персональных
    данных работников
    Основные понятия. Даются определения понятий
    “персональные данные”, “обработка персональных
    данных”, “использование персональных данных”,
    указывается срок хранения документов и т.д.
    Отдельно должно быть указано, что относится к
    персональным данным в конкретной компании с
    учетом ее особенностей (данные, используемые в
    работе, например сведения о работе на режимных
    объектах, об оформлении допуска к
    государственной тайне, о соответствии здоровья
    для профессий, связанных с тяжелыми и вредными
    условиями, и т.д.)
    Перечень документов организации, которые
    содержат персональные данные
    3Получение
    персональных данных
    работников
    Процедура получения персональных данных.
    Указывается, что данные получают и обрабатывают
    на основании письменного согласия работника.
    Указываются случаи, когда согласие не нужно
    4Использование
    персональных данных
    Цели использования личной информации сотрудников
    5Обработка
    персональных данных
    Условия, соблюдаемые при обработке персональных
    данных работника
    6Передача
    персональных данных
    (доступ к
    персональным данным)
    Порядок передачи персональных данных внутри
    организации (внутренний доступ), сторонним лицам
    и государственным органам (внешний доступ)
    7Ответственность за
    нарушение норм,
    регулирующих
    обработку и защиту
    персональных данных
    Указывают тех, кто несет ответственность за
    нарушение правил хранения и использования
    персональных данных

    Фрагмент Положения о персональных данных работников

    Введение Положения в действие

    Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

    Образец приказа

    Если есть профсоюз

    Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться. Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

    Ознакомление работников с Положением

    Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

    • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
    • – листе ознакомления с Положением (образец на с. 91);
    • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
    Читайте также:  Как сделать выписку из трудовой книжки: образец и правила составления

    Образец листа ознакомления с локальными нормативными актами

    N
    п/п
    Наименование локального нормативного актаДатаПодпись
    1Правила внутреннего трудового распорядка
    ООО “Черный лес”
    03.10.2011Евстахов
    2Положение об оплате труда, премировании и
    социальном обеспечении сотрудников ООО “Черный
    лес”
    03.10.2011Евстахов
    3Инструкция по информационной безопасности,
    утвержденная Приказом от 15.06.2008 N 1
    03.10.2011Евстахов
    4Положение о персональных данных03.10.2011Евстахов
    5Положение о материальной ответственности
    работников за ущерб, причиненный ООО “Черный лес”
    03.10.2011Евстахов

    Фрагмент журнала ознакомления с Положением о персональных данных

    N
    п/п
    Ф.И.О. работникаДата
    ознакомления
    Подпись
    1Алексеева Диана Николаевна15.08.2011Алексеева
    2...
    6Евстахов Сергей Сергеевич03.10.2011Евстахов
    7...
    8...
    9...

    Примечание. Срок хранения персональных данных

    Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

    Административная ответственность

    Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

    Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

    НарушениеОтветственностьНорма
    законодательства
    Нарушение установленного законом
    порядка сбора, хранения,
    использования или распространения
    информации о гражданах
    (персональных данных)
    Для должностных лиц:
    от 500 до 1000 руб.;
    для юридических лиц:
    от 5000 до 10 000
    руб.
    Статья 13.11
    КоАП РФ
    Разглашение информации, доступ к
    которой ограничен (персональных
    данных), лицом, получившим к ней
    доступ в связи с исполнением
    служебных или профессиональных
    обязанностей
    Для должностных лиц:
    от 4000 до 5000 руб.
    Статья 13.14
    КоАП РФ

    Ответственный за организацию работы с персональными данными работников

    Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

    Образец приказа

    Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

    Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

    • начальника отдела кадров;
    • (старшего) инспектора по кадрам;
    • директора по персоналу;
    • заместителя начальника отдела (директора по персоналу);
    • специалиста по работе с персоналом.

    Может быть введена и новая должность.

    Автор: А.Ю.Тьевар, старший научный редактор журнала “Зарплата”

    Политика обработки персональных данных: как составить документ

    Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

    1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

    Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

    Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

    Структура Политики обработки персональных данных

    Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

    • Общие положения
    • Цели сбора персональных данных
    • Правовые основания обработки персональных данных
    • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
    • Порядок и условия обработки персональных данных
    • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    1. Общие цели

    В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

    2. Цели сбора персональных данных

    Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

    Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

    • из анализа правовых актов, регламентирующих деятельность оператора;
    • из целей фактически осуществляемой оператором деятельности;
    • из деятельности, которая предусмотрена учредительными документами оператора;
    • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

    3. Правовые основания обработки персональных данных

    Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

    Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

    4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

    К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

    5. Порядок и условия обработки персональных данных

    Что указывается в этом разделе:

    • перечень действий, совершаемых с персональными данными;
    • способы обработки персональных данных;
    • сроки обработки персональных данных.

    Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

    • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
    • указать наименование и местонахождение третьих лиц;
    • обозначить цели передачи данных и их объем;
    • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

    Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

    В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

    Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

    Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

    6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

    Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

    На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

    Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

    Размещение Политики обработки персональных данных в офисе и на сайте

    Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

    Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

    Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

    Ссылка на основную публикацию