Каковы цели обработки персональных данных в организации?

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Каковы цели обработки персональных данных в организации?

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов.

Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Каковы цели обработки персональных данных в организации?

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Обратите внимание

За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.

Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор.

Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в х к статье и получите ответ специалиста

Какова цель обработки персональных данных?

Каковы цели обработки персональных данных в организации?

Предоставляя сведения о себе, человек должен быть уверен, что личная информация не будет передана третьим лицам без его согласия. Российское Законодательство предупреждает такие ситуации и защищает права и свободы граждан.

Конституция РФ и Федеральный Закон “О персональных данных” № 152 от 27.01.2006 г. регулируют работу с личными сведениями о гражданине, признавая его права на неприкосновенность частной жизни, на личную и семейную тайны.

Скрыть содержание

Что это такое?

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как “персональные данные”.

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без “т.д. и т.п.”

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.
  • Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.
  • Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.
  • Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152.
  • Данные клиента могут использованы для:
  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152. Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк “Финансовый”. Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.

Медицинская организация

Медицинская организация “Здоровье”. Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд.

Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен.

Читайте также:  Заявление об установлении факта смерти: как правильно оформить

Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Цель обработки персональных данных | Каковы цели обработки персональных данных в организации

При передаче информации о своей личности человек должен иметь уверенность, что его персональные данные не попадут в руки третьих лиц без его разрешения. В законодательство РФ внесены предупреждающие меры, которые должны защищать права граждан и их свободы.

В Конституции Российской Федерации, ФЗ № 152 «О персональных данных» содержатся требования по регулированию работы с персональными данными граждан. Законодательство признает права каждого человека на неприкосновенность его личной жизни, соблюдение семейной тайны.

Цели сбора информации о субъектах

Любой вид информации, которая прямо или косвенно относится к определенному гражданину, рассматривается как «персональные данные» (ПДн). Обрабатывать такие сведения – значит выполнять любые действия или операции с этой информацией. Операторам разрешается эти сведения:

  • собирать;
  • записывать;
  • систематизировать;
  • накапливать;
  • хранить;
  • уточнять;
  • извлекать;
  • применять;
  • передавать;
  • обезличивать;
  • блокировать;
  • удалять;
  • уничтожать.

Выполнение таких действий должно осуществляться с определенными целями. В законе о персональных данных прописано, что обработка ПДн должна ограничиваться конкретно обозначенными целями, имеющими законные основания. Если на предприятии, к примеру, хранится две базы с персональными сведениями работников с различными целями, не допускается их объединение в одну базу.

Перечень целей обработки персональных данных должен указываться в соглашении, которое предприятие подписывает с работником, клиентом, деловым партнером. Политика компании, касающаяся обработки ПДн, должна размещаться в местах с открытым доступом. 

Подписываемое соглашение должно содержать полный перечень целей, без сокращений «и т. п.; пр.; и т. д.». Они должны быть четко и полноценно обозначены, прописаны в учредительных, уставных бумагах, положениях, разработанных в компании, а также фактически выполняться оператором.

Понятие обработки ПДн

Совместно с подачей требуемых документов во время подписания трудового договора работник должен предоставить свое согласие на обработку ПДн.

Статья 2 закона о персональных данных относит к такой информации о физическом лице его ФИО, дату рождения, иные сведения, включая записи в трудовую книжку. Персональные данные разделены на три категории. 

К первой относится общедоступная информация, которая состоит из основных анкетных данных (ФИО, дата, место рождения, половая принадлежность).

Следующая группа ПДн – биометрические данные, состоящие из сведений о внешности и отдельных физиологических параметрах, если их можно определить визуально, и др.

К специальным сведениям относят данные о национальности, религии, работе, наличии судимости и пр.

Каковы цели обработки персональных данных в организации?

ПДн относятся к разряду конфиденциальных сведений, кроме общедоступных. В связи с этим обрабатывать их можно только в случае получения разрешения физлица.

Обязательным является условие установления срока действия такого согласия на обработку ПДн.

Окончательным сроком, позволяющим совершать какие-либо действия с персональной информацией, может считаться конкретное число или событие (окончание срока действия трудового договора, выполнения каких-либо договорных обязательств и др., отзыв работником ранее данного согласия) – статья 9 ФЗ № 152, п. 4.

Цели обработки ПДн в организации

Каждое предприятие занимается сбором и обработкой персональных сведений. Избежать этих действий нельзя, так как эта информация крайне необходима для реализации в правовом поле трудовых отношений между наемным работником и работодателем.

Организация руководствуется следующими целями во время обработки ПДн:

  • оформление, выполнение, прекращение гражданско-правовых отношений работниками, юрлицами, ИП, иными лицами в случаях, указанных в законодательстве РФ и в Уставе компании;
  • организация работы с кадрами – учет сотрудников, обеспечение выполнения требований законодательства о труде, подписание и исполнение различных обязательств в отношении трудовых, гражданско-правовых соглашений;
  • выполнение функций кадрового делопроизводства, помощь сотрудникам в оформлении на работу, освоении новой профессии, продвижении по служебной лестнице, использовании льгот, компенсаций;
  • реализация требований законов о налогообложении в вопросах начисления, внесения налоговых платежей с доходов физлиц, ЕСН, пенсионных законов во время формирования, передачи в Пенсионный фонд данных персонификации относительно каждого получателя страховых выплат;
  • внесение данных в первичную статистическую документацию по Трудовому, Налоговому кодексам, а также федеральным законам.

Цели обработки персональной информации в медучреждениях

В различных организациях цели обработки ПДн могут быть разными.

В медицинских учреждениях, к примеру, собираются данные о фактическом состоянии здоровья пациента, которые относятся к виду специальных. Можно обрабатывать ПДн физлица без его согласия (ст. 10 ч. 2 п. 4 закона о персональных данных) в следующих целях:

  • постановка диагноза;
  • профилактические мероприятия;
  • предоставление медицинских, социальных услуг.

Эта норма справедлива в отношении ситуаций обработки ПДн врачом, который должен хранить врачебную тайну, что предусмотрено законами РФ. Но если получить согласие нет возможности, и ситуация для здоровья пациента и его жизни критическая, обработка ПДн может осуществляться без запроса разрешения от физлица.

Сведения о клиенте могут быть использованы с целью:

  • предоставления ему консультаций, информации, услуг посредничества;
  • подписания с клиентом договора и выполнения его условий;
  • кадровой работы, предоставления бухгалтерских услуг;
  • прочих действий, не запрещенных законами РФ.

Цели обработки ПДн в банковском секторе

В сфере предоставления банковских услуг при выполнении определенных банковских операций цели обработки ПДн могут быть следующими:

  • открытие счета в банке, его ведение;
  • денежные переводы;
  • перечисление средств от физлица юридическому лицу без использования банковских счетов;
  • покупка или продажа инвалюты;
  • предоставление консультационных услуг, какой-либо информации, включая использование телефонной связи, электронной почты.

Не все просто с персональной информацией любого гражданина, будь то сотрудник какой-либо компании, пациент медицинского учреждения, клиент банка, любой другой организации.

Закон запрещает использовать персональные данные любого человека не только без его согласия, но также и в случае, если эти сведения не нужны для реализации конкретных целей (если субъект ПДн не дал согласия на эти действия).

В случае утечки персональных сведений любой гражданин имеет право подать жалобу в Роскомнадзор или обратиться в судебные органы. Поэтому обработка персональных данных должна вестись строго в рамках действующего законодательства.

Как ведется работа с персональными данными в организации?

Работа с персональными данными в организации — это упорядоченный процесс, который должен проводиться в соответствии с требованиями закона «О персональных данных» от 27.07.2006 № 152-ФЗ. О правилах и алгоритме действий организации в данной сфере расскажет предлагаемая нами статья. 

Персональные данные — понятие и состав

Согласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей.

Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных.

Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  • имя, фамилию и отчество;
  • дату и место рождения;
  • номер телефона;
  • адрес пребывания;
  • данные об образовании и профессии;
  • сведения о семейном, имущественном положении, доходах и т. п.

Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д.

При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме.

Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных.

Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Ограничения на сбор и обработку персональных данных

Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона. Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:

  1. Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
  2. Для защиты жизни, здоровья и иных значимых интересов гражданина.
  3. В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.
  4. В иных ситуациях по просьбе или с разрешения гражданина.

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  • объем и характер собираемой информации должны соответствовать поставленной цели;
  • недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;
  • хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).
Читайте также:  Рабочее время для беременных по Трудовому кодексу: неполное, норма, суммированный учет

Общие правила, порядок действий, инструкция по работе с персональными данными в организации

Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.

Каковы цели обработки персональных данных в организации?
Скачать положение об обработке персональных данных

К таковым мерам, в частности, следует отнести:

  • назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;
  • издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;
  • применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т. д.;
  • осуществление внутреннего контроля за обработкой личных данных;
  • проведение инструктажа, ознакомления работников с правилами обработки персональных данных.

Часть 4 статьи 18.1 ФЗ № 152 указывает, что организации необходимо представить по запросу контрольно-надзорных органов документы и локальные акты (инструкцию, положение, приказ и т. д.

) либо подтвердить иным способом принятие мер, направленных на защиту прав и интересов граждан, чьи данные подлежат обработке. Более того, часть 2 статьи 18.

1 ФЗ № 152 обязывает организацию обеспечить доступ к данным документам всех заинтересованных лиц.

Яндекс.Дзен ВКонтакте Telegram

Ручная обработка личных данных

При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т. п.

) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687.

Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:

  1. Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.
  2. Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
  3. В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
  4. В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
  5. Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.

Практикам также следует учитывать, что пункт 8 указанного положения содержит ряд дополнительных требований к ведению типовых форм, обеспечивающих пропуск гражданина на территорию оператора. Так, необходимость ведения учетных форм и требования к ним должны быть прямо прописаны в нормативном акте организации, а копирование информации, содержащейся в подобных документах, запрещается.

Применение автоматизированных систем

В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119. Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.

Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:

Что нужно знать об обработке и хранении персональных данных в России? Правовое регулирование

Деятельность государственных органов, предпринимателей и общественных объединений часто бывает сопряжена с обработкой и хранением личных данных о клиентах, сотрудниках либо прочих взаимосвязанных лицах.

Законодательство запрещает раскрывать третьим лицам такую информацию. В связи с этим операторы, выполняющие процессы с конфиденциальными данными, имеют четкие обязанности по их защите.

Оказываем юридическую помощь. Звоните ???? . Справка. На основании ст. 3 ФЗ № 152 от 27.07.2006, персональной является любая информация, которая прямо или косвенно касается конкретного физического лица.

К личным сведениям причисляются:

  • ФИО;
  • дата и место рождения человека;
  • его адрес;
  • уровень образования;
  • должность;
  • фото- и видеозаписи;
  • семейное положение;
  • родственники;
  • биографические факты;
  • подробности о судимости;
  • место работы;
  • финансовое состояние;
  • подтверждение службы в армии;
  • оценочные характеристики;
  • национальность;
  • раса;
  • религиозные взгляды;
  • состояние здоровья;
  • политические убеждения;
  • интимная жизнь;
  • биометрия;
  • прочие идентифицирующие личность факты.

Такая информация может содержаться в:

  • паспортах;
  • трудовых книжках;
  • военных билетах;
  • справках о составе семьи;
  • дипломах;
  • декларациях о доходах;
  • анкетах;
  • личных карточках;
  • свидетельствах о бракосочетании и метриках на детей;
  • медицинских картах.

Внимание. Обработка личной информации – это любые действия, которые производятся над ней.

Она проходит следующие этапы:

  1. сбор;
  2. запись;
  3. систематизация;
  4. накопление;
  5. хранение;
  6. уточнение (обновление, изменение);
  7. извлечение;
  8. использование;
  9. передача;
  10. обезличивание;
  11. блокирование;
  12. уничтожение.

Автоматизированная обработка

Используется несколько способов обработки личной информации:

  • автоматизированный;
  • неавтоматизированный;
  • смешанный.

Автоматизированная обработка производится с применением средств автоматизации.

Правовое основание этой деятельности в России

В этой сфере следует руководствоваться нормами ФЗ № 152, № 149 и иными нормативными актами относительно защиты данных. Требования нормативных актов в сфере защиты личной информации затрагивают деятельность различных участников экономических процессов:

  • интернет-магазинов;
  • работодателей;
  • организаций;
  • государственных органов;
  • центров обработки информации.

Важно. В последние годы полномочия Федеральной службы Роскомнадзор, на которую возложен надзор за соблюдением законодательства в этой сфере и контроль операторов, обрабатывающих личные сведения граждан, были расширены.

Правила и принципы

Личная информация является конфиденциальной. Оператор имеет право осуществлять любые действия с ней в предусмотренных законом случаях:

  • при оказании социальной помощи;
  • в связи с трудовыми отношениями;
  • в случае предоставления пенсионного обеспечения;
  • для установления прав человека и в связи с судопроизводством;
  • при страховании;
  • при предоставлении услуг;
  • в прочих ситуациях.

Персональные сведения оператор может получить:

  • от самих субъектов;
  • от третьих лиц с обязательным подтверждением согласия от граждан, которых они касаются, на передачу таких сведений (о том, всегда ли нужно согласие на обработку персональных данных, как отозвать, читайте тут).

Обрабатывая личную информацию, оператор должен следовать таким принципам:

  • придерживаться законодательных норм;
  • следовать целенаправленности в обработке;
  • собирать только необходимую, являющуюся достаточной, базу для поставленной цели;
  • не допускать объединения баз данных, являющихся несовместимыми между собой;
  • уничтожать или обезличивать сведения после выполнения действий с ними или в случае утраты необходимости в них.
  1. Оператор может по договору поручить обработку собранной базы третьей стороне с согласия граждан, которых она касается. Третья сторона обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре:
    • определяется список операций со сведениями;
    • формулируются цели;
    • вменяется в обязанность обеспечивать конфиденциальность и безопасность;
    • указываются требования к защите обрабатываемых сведений.
  2. С согласия граждан для целей обработки оператор может передавать персональные сведения в другие страны.
  3. Третьим лицам раскрывать и распространять данные без согласия граждан, которых они касаются, не допускается. В ситуациях, когда раскрытия личных сведений требует закон или судебное решение, разглашение информации нарушением законодательных норм не считается.
  4. Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя, для сохранения в браузере). Cookies не передаются третьим лицам.
  5. Оператор не несет ответственности за сведения, предоставленные самим гражданином в общедоступной форме.
  6. Оператор имеет право отправлять рекламные и прочие информационные сообщения на электронные ящики и мобильные телефоны граждан, к которым относятся эти персональные данные, только по их согласию. Сервисные сообщения, отправляемые автоматически на этапах обслуживания гражданина, не могут быть отклонены им.

Требования к хранению

Нормативными документами РФ регламентируются:

  • место хранения личной информации граждан РФ;
  • порядок ее хранения;
  • сроки хранения.

Внимание. Оператор должен обеспечивать защиту персональных сведений от неправомерного их использования или утраты за счет собственных средств.

О том, в каких ситуациях следует обращаться за защитой персональных данных, как составить и куда направить жалобу, читайте тут.

В процессе сбора, обработки и хранения личных сведений должны оформляться следующие документы:

  • заявления граждан о согласии на проведение действий с их данными;
  • журналы учета персональной информации, ее выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные сведения.

Система хранения

На законодательном уровне введены обязанности хранить данные российских граждан только на территории РФ. Для соблюдения этого требования законодательства российские операторы, которые пользуются зарубежными сервисами, имеют возможность перейти на агентскую схему контрактов с конечными пользователями.

В таком случае они выступают в отношениях с зарубежным поставщиком сервиса от имени пользователя и никакой ответственности в этом качестве не несут.

Права и обязанности по договору возникают непосредственно у зарубежного владельца сервиса, на которого требования российского законодательства не распространяются.

Чтобы обойти законодательные ограничения, есть возможность также изменить систему хранения данных. Персональные сведения можно хранить на российских серверах, а связанные с ними обезличенные данные обрабатывать за рубежом.

Решаем юридические вопросы любой сложности. Звоните ????.

Перечень мест хранения персональных сведений должен быть установлен приказом руководителя организации-оператора.

Важно. Все документы, которые содержат личную информацию, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Порядок

Перечень мер, необходимых для обеспечения сохранности личных сведений, необходимо установить приказом руководителя организации-оператора.

Оператор должен утвердить документ, содержащий перечень персональных данных, используемых в его деятельности.

Читайте также:  Сбил человека вне пешеходного перехода: ответственность

В этом перечне должны быть указаны документы, содержащие конфиденциальные сведения о гражданах, которые оператор представляет в различные государственные органы.

Оператор должен назначить ответственных за работу с личными данными и ответственных за обеспечение их безопасности соответствующими приказами.

Можно назначить ответственными как конкретного сотрудника, так и подразделение оператора. В последнем случае личную ответственность будет нести руководитель такого подразделения.

О том, что такое персональные данные и какова ответственность за разглашение, читайте тут.

Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено законодательством.

Перечни документов, предусмотренные ФЗ от 22 октября 2004 г. № 125 «Об архивном деле в Российской Федерации», необходимо хранить в архиве в течение предусмотренных законодательством сроков.

Сроки

Операторы обязаны обеспечивать сохранность архивных документов в течение времени их хранения, установленных федеральными законами Российской Федерации. Хранение персональной информации после прекращения ее обработки допускается только после обезличивания.

Документы передаются на хранение в архив с января года, который идет вслед за годом окончания использования документа. Документы, передаваемые в архив, имеют четкий срок хранения, который необходимо законодательно соблюдать.

Различают документы:

  • временного хранения (до 50 лет);
  • постоянного хранения.

Важно. По истечении срока хранения документы следует уничтожить.

Законодательство РФ четко регламентирует порядок сбора, обработки и хранения персональной информации. За исполнением законодательства в этой сфере следит Роскомнадзор. Этот орган имеет право проверять:

  • наличие разрешений субъектов на обработку их персональных сведений;
  • утверждение оператором организационных регламентов, устанавливающих порядок действий с такой информацией, и подписи сотрудников о знании их прав и обязанностей в этой области;
  • соблюдение условий хранения и защиты персональных данных оператором;
  • соответствие документации об обработке личных сведений требованиям законодательства.

Для решения вашего вопроса – обратитесь за помощью к юристу. Мы подберем для вас специалиста. Звоните ???? Каковы цели обработки персональных данных в организации?

Как защитить персональные данные сотрудников в соответствии с законом

  • 11-03-2021
  • Наталья Кичина
  • 9 мин.

Принимая на работу нового сотрудника, кадровик получает доступ к его персональным данным. В дальнейшем они будут храниться в архиве компании, использоваться для составления договоров, соглашений и других документов.

Законодательство обязует кадровых сотрудников строго соблюдать конфиденциальность полученных сведений. Регламент хранения персональных данных определен, и его нарушение может повлечь немалые проблемы для компании.

Ниже мы разберем, как правильно организовать хранение, рассмотрим документы, на которые обращает внимание Роскомнадзор при проведении проверок.

Что считается персональными данными

Данные, находящиеся в общей доступности, не нуждаются в защите. Информация, размещенная в социальных сетях или других открытых источниках, не требует от кадровика каких-либо особых действий. По умолчанию считается, что человек добровольно разместил свои данные там, где их может увидеть каждый желающий.

  1. К данным, требующим особого отношения, относятся:
  2. 1) общие сведения (номер телефона, данные паспорта, домашний адрес, информация о полученном образовании);
  3. 2) биометрия (информация о физиологических особенностях человека);
  4. 3) специальные данные (вероисповедание, судимости, состояние здоровья, национальность).

Справка!  Точный список общих персональных данных в законодательстве не указан. Поэтому следует с осторожностью обращаться с любыми сведениями, оказавшимися в руках кадровика. В судебной практике были случаи, когда персональными данными признавали фото или сведения о смерти.

Что значит защита персональных данных

Законодательно под термином «защита персональных данных» подразумевается комплекс мер, направленных на предотвращение попадания информации сторонним людям. Фактически, сведения не должны оказаться в доступности третьих лиц. Обрабатывать информацию имеют право кадровик и сотрудник, отвечающий за хранение документации.

Ответственность за нарушение правил хранения серьезная. В случае с утечкой биометрических данных возможно не только административное, но и уголовное наказание.

Специальные сведения могут быть переданы только по запросу правоохранительных органов, в целях сохранения здоровья или по решению суда. В остальных случаях для использования данных необходимо письменное согласие сотрудника.

Законы на которые нужно опираться при работе с персональными данными

В РФ разработано несколько законов, направленных на защиту персональных данных каждого человека от нецелевого использования. За любую утечку информации наказывают и компанию в целом, и ответственного сотрудника.

Законы о защите персональных данных, как и все остальные, регулярно обновляются. Появляются новые, старые утрачивают силу. Например, ст.

85 Трудового Кодекса РФ уже не актуальна, но общую информацию из нее еще можно использовать.

  • Чтобы не совершить ошибок при работе с кадровой документацией, опирайтесь на следующие нормы законодательства:
  • ст. 86-90 ТК РФ;
  • ФЗ №149;
  • Конституция России;
  • ФЗ №152;
  • Указ Президента №188.

В каких документах содержатся персональные данные

Кадровик обрабатывает немало документации по каждому сотруднику. Но не вся она требует специальной защиты и особого хранения. Личная информация, оберегаемая законом, содержится в следующих документах:

  1. — копия паспорта;
  2. — оригинал и копия трудовой книжки;
  3. — копии документов о семейном положении;
  4. — свидетельства о рождении детей;
  5. — СНИЛС;
  6. — военный билет;
  7. — дипломы;
  8. — трудовые договоры, все приложения и допсоглашения к ним;
  9. — личные дела сотрудников;
  10. — анкеты, заполняемые при прохождении собеседования.
  11. Также к персональным данным относится информация из приказов и локальных актов, в которых указаны сведения из приведенного выше списка документов.

Документы, необходимые для защиты персональных данных

Несмотря на большое количества законодательных актов о защите персональных данных, точного списка документации, необходимой для организации правильного хранения информации, нет.

Работодатель обязан создать Политику о защите персональных данных. В ней прописываются все документы, регулирующие процесс, а также процедуры хранения и утилизации полученной информации. Там же указывают способы обработки, правила передачи (при наличии законных оснований) и список сведений, считающихся конфиденциальными.

П. 8 ст. 86 ТК РФ гласит, что работодатель, кроме Политики, обязан создать Положение о защите персональных данных. В этом документе более подробно описываются способы получения, хранения, использования и утилизации сведений о сотрудниках.

Положение создается в произвольной форме. Обязательно необходимо включить в него следующие разделы:

1) Общая информация. На основании какого закона создан документ. Кто и когда разработал Положение, с какой целью.

2) Схема получения и обработки данных.

3) Пошаговые инструкции по использованию данных. С указанием ситуаций, при которых их можно передавать.

  • 4) Правила хранения сведений.
  • 5) Процедура защиты.
  • 6) Гарантии нераспространения.

Структура документа может меняться кадровиком в зависимости от особенностей деятельности компании. Главное — подробно описать алгоритм получения, обработки, хранения и утилизации данных. Это позволит вам максимально обезопасить себя и фирму при возникновении судебных разбирательств.

Положение заверяется печатью и подписью руководителя компании.

При приеме на работу у сотрудника обязательно запрашивается письменное согласие на обработку личных сведений. Они должны постоянно храниться в компании. Это позволит избежать проблем во время проверок.

Не менее важно и ведение журнала учета приема и передачи персональных данных. В нем фиксируются получение и передача документов, содержащих защищенные сведения.

Организация процесса защиты и хранения персональных данных

Комплекс мероприятий для защиты персональных данных устанавливается индивидуально на каждом предприятии. Ответственный сотрудник составляет список действий, закрепляет их в локальных нормативных актах. В дальнейшем руководитель и кадровые сотрудники придерживаются установленных правил при сборе, обработке, передаче, хранении и утилизации полученных сведений.

Пошаговая инструкция по организации защиты персональных данных:

— Приказом утвердите сотрудника, ответственного за защиту персональных данных. Чаще всего это HR-специалист, бухгалтер или кадровик.

  1. — Составьте должностную инструкцию для ответственного.
  2. — Проведите разъяснительную беседу о важности защиты личных данных и соблюдении установленных правил.
  3. — Составьте документ о неразглашении, который подпишет ответственный сотрудник.
  4. — Разработайте Регламент доступа к персональным данным для остальных работников.
  5. — Создайте Положение о хранение личных данных.
  6. — Ознакомьте всех работников с Положением под роспись.
  7. — Опираясь на ФСБ и ФСТЭК, разработайте систему защиты персональных данных.
  8. — Выберите подходящий уровень защиты, руководствуясь Постановлением Правительства №1119.
  9. — Определите места для архивов.
  10. — Установите виды защиты электронных сведений.
  11. — Проводите проверки защиты данных не реже, чем 3 раза в год.

Ответственность за нарушение правил защиты персональных данных

Работодатель обязуется защищать персональные данные сотрудников. Разглашать их недопустимо ни при каких обстоятельствах. Выявление нарушений правил хранения и защиты во время проверки повлечет за собой административную ответственность для руководителя и дисциплинарное взыскание для ответственного сотрудника.

Если произойдет утечка информации, лицам, допустившим халатность, грозит и уголовная ответственность. Судебные процессы по таким делам в последнее время не редкость.

Если работнику в результате утечки данных причинен материальный вред, работодатель обязан будет его компенсировать. Кроме этого, сотрудник вправе требовать и компенсации морального ущерба.

Суммы выплат могут достигать значительных размеров. Регулируется данный вопрос ст. 137 УК.

Кроме того, выявление нарушений правил хранения повлечет за собой наложение штрафа.

Процедура организации защиты и хранения персональных данных довольно хлопотная. Однако один раз созданная, она будет служить компании много лет. Она же позволит избежать проблем во время проверок Роскомнадзора. Если возникают сложности с разработкой системы хранения, можно привлечь специалистов или обратиться за консультацией к юристам.

Если статья была вам полезна, пожалуйста, оцените ее по «звездной» шкале ниже, где 5 звезд — очень полезна.

Мы хотим, чтобы вы читали только интересные материалы, и будем благодарны за обратную связь!

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *