Состав персональных данных: Положение о защите персональных данных работников

Содержание

для тех, кому нужно быстро разобраться

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извле

Персональные данные (Краткий FAQ) / Хабр


Что такое персональные данные?

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных - это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных - это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 - обезличенные и (или) общедоступные персональные данные; 
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
  класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
  класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
  класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
  класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 

    
Объем / Категория

Объем 3 
(<1 000,  
организация)

Объем 2 
(1 000-100 000, 
отрасль, город)

Объем1   
(>100 000, 
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Класс 4

Класс 4

Класс 4

Категория 3 (идентификационные)

Класс 3

Класс 3

Класс 2

Категория 2 (идентификационные и еще)

Класс 3

Класс 2

Класс 1

Категория 1 (медицинские, социальные)

Класс 1

Класс 1

Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную 
ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.

ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?

Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
- в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации...», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации...», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. 

ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут: 
— гражданскую, 
- уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), 
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2), 
—  дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) 
и  иную  предусмотренную  законодательством  РФ  ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).

Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Персональные данные, состав, работника, комментарии, определение

Персональные данныеВ современном мире вопрос, как защитить, хранить и использовать персональные данные является актуальным. Независимо от того, где работает и чем занимается человек. И хотя Закон “О персональных данных” принят еще в 2006 году, работа с такими данными не перестает совершенствоваться и изменяться. Поэтому мы разместили актуальную информацию в отдельной рубрике. Эта рубрика называется “Персональные данные” и она посвящена всему, что связано с этим понятием и его применением на практике.

Состав персональных данных

Каждый из нас хоть раз, но заполнял согласие на обработку персональных данных. В поликлинике, МФЦ, при получении государственных услуг. Почему этот документ необходим, для чего и как правильно его составить? Ответы на эти вопросы, равно как и категории данных, мы разместили на сайте. Если возникнут дополнительные вопросы, задать их можно дежурному юристу. 

Каждый гражданин может осуществить отзыв согласия на обработку персональных данных. Это его право, так как такие данные являются собственностью каждого человека, гарантией неприкосновенности частной жизни и невмешательства государства в частную жизнь его граждан.

Персональные данные работника

Большинство людей являются наемными работниками. А работодатель обязан правильно и законно использовать персональные данные, которые стали ему доступны. Иногда и в процессе трудовой деятельности работник получает доступ к таким данным. А значит, они должны быть защищены.

В трудовой деятельности работодатель должен обладать информацией, что такое передача персональных данных работника, как осуществить хранение таких данных, срок хранения. Уделили внимание и локальным актам. Как издать приказ о персональных данных, назначить ответственного за обработку таких данных, о защите данных работника.

Положение о персональных данных

Положения

Открыть в формате Word Положение о порядке обработки персональных данных

  1. Общие положения

Общие положения базируются на соответствующих нормах Конституции РФ (Российской Федерации), а также общепризнанных принципах и нормах международного права и международных договорах РФ, которые в соответствии с ч. 4 ст. 15 Конституции РФ являются составной частью российской правовой системы.

Так, в соответствии с частью первой ст. 23 Конституции РФ каждый гражданин  имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.1.      Цель разработки

Целью является защита персональных данных от несанкционированного доступа.

1.2.  Основания для разработки:

1.2.1.  Конституция РФ ст. 24.

В ст. 24 Конституции РФ закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются      (ч. 1), а органы государственной власти и местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ч. 2)

1.2.2.  Трудовой Кодекс Российской Федерации (ТК РФ):

статья 85. Понятие персональных данных работника. Обработка персональных данных работника.

статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты.

статья 87. Хранения и использование персональных данных работников.

статья 88. Передача персональных данных работника.

статья 89. права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.

статья 90. ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

1.2.3.  Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» (СЗ РФ, 1995, № 8, ст. 609) в качестве одной из целей защиты информации закрепил защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах (ст. 20).

1.2.4.  Закон об электронной цифровой подписи (10.01.2002 г. № 1 – ФЗ)

1.2.5.  Подзаконный акт – постановление Правительства РСФСР от 05.12.1991 г. № 35         «О перечне сведений, которые не могут составлять коммерческую тайну.

1.3.  Порядок утверждения, ввода в действие и внесения изменений:

1.3.1.  Утверждается работодателем,

1.3.2.  Изменения вносятся приказом.

2. Понятие и состав персональных данных

2.1. Понятие персональных данных

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.(Статья 85 ТК РФ.)

Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

2.2.  Состав персональных данных

2.2.1.  Паспорт или иной документ, удостоверяющий личность;

2.2.2.  Трудовую книжку;

2.2.3.  Страховое свидетельство государственного пенсионного страхования;

2.2.4.  Документы воинского учета;

2.2.5.  Документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки;

2.2.6.  Дополнительные документы (справка о доходах с предыдущего места работы, справка из органов государственной налоговой службы о предоставлении сведений об имущественном положении, медицинское заключение о состоянии здоровья и др.)

2.2.7.  Автобиографические данные:

2.2.8.  Сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющих идентифицировать его личность. ( ст.2, № 24 ФЗ от 20.02.95.).

2.2.9.  Сведения о заработной плате.

3. Сбор, обработка и хранение персональных данных

3. 1. Порядок получения персональных данных

3.1.1.   Все персональные данные работника следует получить у него самого. Если

персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. (Ст.   86 ТК РФ п. 3.)

3.1.2.   Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.    (Ст. 86 ТК РФ п. 4.)

3.1.3.   Работодатель не имеет права получить и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.            (Ст. 86 ТК РФ п. 5.)

3.2. Порядок обработки, передачи и хранения персональной информации

3.2.1.  В соответствии со ст.86 ТК РФ в целях обеспечения прав и свобод человека и  гражданина работодатель и его представители при обработке персональных  данных работника должны соблюдать следующие общие требования:

q Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении на службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

q При определении объема и содержания, обрабатываемых персональных данных работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;

q При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

q  Защита персональных данных работника от неправомерного их использования  или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;

q работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

q работники не должны отказываться от своих прав на сохранение и защиту тайны;

q работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работника.

3.2.2.  При  передаче персональных данных работника работодатель должен соблюдать

следующие требования (статья 88 ТК РФ):

q не сообщать данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

q не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

q предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правильно соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

q осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;

q разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

q не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

q передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.2.3.  Порядок хранения и использования персональных данных работников в

организации устанавливается работодателем с соблюдение Трудового кодекса.

При этом в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на :

q полную информацию об их персональных данных и обработке этих данных;

q свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

q определение своих представителей для защиты своих персональных данных;

q доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

q требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

q требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

q требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

q обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.         

3. 3. Ответственность за разглашение

3.3.1.   Все лица, непосредственно имеющие отношение к персональной базе данных,

должны подписывать обязательство о неразглашении (смотри приложение).

3.3.2.   Статья 90 ТК РФ устанавливает ответственность лиц, виновных в нарушении норм,

регулирующих получение, обработку и защиту персональных данных работника,

которые должны нести дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

3.3.3.  Статья 5. 27 кодекса РФ «Об административных правонарушениях» от 30. 12. 2001

№ 195 – ФЗ устанавливает ответственность должностных лиц:

q за нарушение законодательства о труде и об охране труда – наложение административного штрафа в размере от 5 до 50 минимальных размеров оплаты труда;

q за нарушение законодательства о труде и об охране труда лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение- дисквалификация на срок от одного года до трех лет.

3.3.4.   Статья 5. 39 Кодекса устанавливает ответственность должностных лиц:

q за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное представление таких документов и материалов, непредставление иной информации в случаях, предусмотренных

законом, либо предоставление гражданину неполной или заведомо недостоверной информации – наложение административного штрафа в размере от 5 до 10 минимальных размеров оплаты труда.

4. Доступ

4. 1.    Внутренний доступ.

4.1.1.  Работодатель.

4.1.2.  Заместители по направлениям деятельности.

4.1.3.  Руководители структурных подразделений имеют доступ к данным своих сотрудников. При переводах -  начальники отделов могут посмотреть личное дело переводимого сотрудника.

4.1.4.  Сотрудник организации – носитель этих данных (ст. 62 ТК РФ).

Выдача трудовой книжки и копий документов, связанных с работой (Статья 62.)

q По письменному заявлению работника работодатель обязан не позднее трех дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказ об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и представляться работнику безвозмездно.

q При прекращении трудового договора работодатель обязан выдать работнику в день увольнения (последний день работы) трудовую книжку и по письменному заявлению работника копии документов, связанных с работой.            

q В случае, если в день увольнения работника выдать трудовую книжку невозможно в связи с отсутствием работника либо его отказом от получения трудовой книжки на руки, работодатель направляет работнику уведомление о необходимости явиться за трудовой книжкой либо дать согласие на отправление ее по почте. Со дня направления уведомления работодатель освобождается от ответственности за задержку выдачи трудовой книжки.                                               

      4.1.5. Другие сотрудники организации

Не имеют доступа к персональным данным сотрудников организации, только с  письменного согласия                                                                 

4. 2. Внешний доступ

4.2.1.      Надзорноконтрольные органы.

4.2.2.           -  Страховые компании;

                      - Кредитные организации (банки) – с согласия сотрудника;

                      - Негосударственные пенсионные фонды;

               - Благотворительные фонды (только с письменного заявления).       

4.2.3.   Вышестоящие организации, акционеры.

- Учредители;

- Главный бухгалтер вышестоящей организации своего структурного подразделения;

4.2.4.   Другие организации и предприятия.

            С письменного разрешения сотрудника, нотариально заверенного, или

привезенного собственноручно.( гл. 14 ТК РФ).

4.2.5.   Родственники, члены семьи.

            С письменного разрешения сотрудника, нотариально заверенного, или

привезенного собственноручно.( гл. 14 ТК РФ).

5.  Защита персональных данных

5. 1.     Внутренняя защита

5. 1. 1. Защита данных на бумажных носителях (несгораемые сейфы).

5. 1. 2. Защита информации на электронных носителях

q Коды;

q Пароли;

q Доступы.

5. 2.     Внешняя защита

q Дневная охрана;

q Ночная охрана;

q Переговорные устройства;

q Сигнализация;

q КТС – кнопка тревожной сигнализации,

q Вневедомственная охрана ОВО СВАО;

q Пожарная сигнализация;

q Пропускная система для сотрудников.


 

Положение об обработке и защите персональных данных работников

Открыть в формате WordПоложение об обработке и защите персональных данных работников

  1. Общие положения

Настоящее Положение устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным сотрудников ЗАО "!!!". Под сотрудниками подразумеваются лица, имеющие трудовые отношения с ЗАО "!!!".

1.1.  Цель

Настоящее Положение является развитием комплекса мер, направленных на обеспечение защиты персональных данных, хранящихся у работодателя, посредством планомерных действий по совершенствованию организации труда.

1.2.  Основания

Основанием для разработки данного Положения являются:

― Конституция РФ от 12.12.1993;

― Трудовой кодекс РФ № 197 - ФЗ от 01.02.2002;

― Кодекс РФ об административных правонарушениях № 195 - ФЗ от 30.12.2001 г.;

― Федеральный закон № 24 - ФЗ от 20.02.1995 "Об информации, информатизации и защите информации";

― Указ Президента РФ № 188 от 06.09.1997 "Об утверждении перечня сведений конфиденциального характера".

1.3. Порядок ввода в действие Положения о защите персональных данных и изменений к нему

Положение о защите персональных данных и изменения к нему вводятся приказом по общей деятельности ЗАО "!!!" и утверждаются Генеральным директором. Все сотрудники организации должны быть ознакомлены под расписку с данным Положением и изменениями к нему.

  1. Понятие и состав персональных данных

Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией. К персональным данным относятся:

― все биографические сведения сотрудника;

― образование;

― специальность;

― занимаемая должность;

― наличие судимостей;

― адрес местожительства;

― домашний телефон;

― состав семьи;

― место работы или учебы членов семьи и родственников;

― характер взаимоотношений в семье;

― размер заработной платы;

― содержание трудового договора;

― состав декларируемых сведений о наличии материальных ценностей;

― содержание декларации, подаваемой в налоговую инспекцию;

― подлинники и копии приказов по личному составу;

― личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;

― основания к приказам по личному составу;

― дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

― копии отчетов, направляемые в органы статистики;

― анкета;

― копии документов об образовании;

― результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

― фотографии и иные сведения, относящиеся к персональным данным сотрудника.

Указанные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

Собственником информационных ресурсов (персональных данных) - является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал сотрудником) или изъявил желание вступить в трудовые отношения с работодателем. Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.

Держателем персональных данных является работодатель, которому сотрудник добровольно передает во владение свои персональные данные. Работодатель выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям - своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.

Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи и разглашения.

  1. Принципы обработки персональных данных

Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.

Получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Все персональные данные сотрудника получаются у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.

Не допускается получение и обработка персональных данных сотрудника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

При принятии решений относительно сотрудника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможно получение и обработка данных о частной жизни сотрудника только с его письменного согласия.

Пакет анкетно-биографических и характеризующих материалов (далее пакет) сотрудника формируется после издания приказа о его приеме на работу. Пакет обязательно содержит личную карточку формы Т-2, а также может содержать документы, содержащие персональные данные сотрудника, в порядке, отражающем процесс приема на работу.

Все документы хранятся в папках в алфавитном порядке фамилий сотрудников.

Пакет пополняется на протяжении всей трудовой деятельности сотрудника в данной организации. Изменения, вносимые в карточку Т-2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).

Сотрудник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.

Под блокированием персональных данных понимается временное прекращение операций по их обработке по требованию субъекта персональных данных при выявлении им недостоверности обрабатываемых сведений или неправомерных действий в отношении его данных.

При обработке персональных данных сотрудников работодатель в лице Генерального директора вправе определять способы обработки, документирования, хранения и защиты персональных данных сотрудников ЗАО "!!!" на базе современных информационных технологий.

Сотрудник обязан:

― передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

― своевременно сообщать работодателю об изменении своих персональных данных.

Сотрудник имеет право на:

― полную информацию о своих персональных данных и обработке этих данных;

― свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством РФ;

― определение своих представителей для защиты своих персональных данных;

― доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;

― требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;

― требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

― обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

  1. Доступ к персональным данным

Персональные данные добровольно передаются сотрудником непосредственно держателю этих данных и потребителям внутри ЗАО "!!!" исключительно для обработки и использования в работе.

Внешний доступ. К числу массовых потребителей персональных данных вне ЗАО "!!!" можно отнести государственные и негосударственные функциональные структуры:

― налоговые инспекции;

― правоохранительные органы;

― органы статистики;

― страховые агентства;

― военкоматы;

― органы социального страхования;

― пенсионные фонды;

― подразделения муниципальных органов управления.

Внутренний доступ. Внутри ЗАО "!!!" к разряду потребителей персональных данных относятся сотрудники функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:

― начальник отдела кадров;

― сотрудники бухгалтерии;

― начальники структурных подразделений.

В кадровом отделе хранятся личные карточки сотрудников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке.

После увольнения документы по личному составу передаются на хранение.

  1. Передача персональных данных

При передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

Передача внешнему потребителю:

― передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;

― при передаче персональных данных сотрудника потребителям (в том числе и в коммерческих целях) за пределы ЗАО "!!!" работодатель не должен сообщать эти данные третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника или в случаях, установленных федеральным законом;

― ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения Генерального директора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений;

― не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу;

― по возможности персональные данные обезличиваются.

Передача внутреннему потребителю. Работодатель вправе разрешать доступ к персональным данным сотрудников. Потребители персональных данных должны подписать обязательство о неразглашении персональных данных сотрудников (Приложение №1).

  1. Защита персональных данных

Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности предприятия.

6.1. "Внутренняя защита"

Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документами и базами данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами предприятия. Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

― ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

― строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

― рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

― знание сотрудниками требований нормативно - методических документов по защите информации и сохранении тайны;

― наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

― определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

― организация порядка уничтожения информации;

― своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;

― воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

― не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Генеральному директору, и в исключительных случаях, по письменному разрешению Генерального директора, руководителю структурного подразделения;

― персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.

6.2. "Внешняя защита"

Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности предприятия, посетители, сотрудники других организационных структур.

Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:

― порядок приема, учета и контроля деятельности посетителей;

― пропускной режим предприятия;

― порядок охраны территории, зданий, помещений, транспортных средств.

7.  Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и является обязательным условием обеспечения эффективности этой системы.

Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

Каждый сотрудник предприятия, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.

Начальник отдела кадров

   
 
Приложение №1
к Положению об обработке и защите
персональных данных работников
ЗАО "!!!"

от "____" _____________ 200  г.

 

Обязательство о неразглашении персональных данных сотрудников
ЗАО "!!!"

Отдел кадров:

Бухгалтерия:

     
     
     
     
     
     
     
     
     
     
     

Отдел ИТ:

     
     
     

Руководители подразделений:

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

Юрисконсульт

   

 

ЛИСТ

ознакомления с Положением об обработке и защите персональных данных работников ЗАО "!!!"

№ п/п

Фамилия, имя, отчество работника

Дата и подпись работника после ознакомления с Положением

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

№ п/п

Фамилия, имя, отчество работника

Дата и подпись работника после ознакомления с правилами

     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

Положение о защите персональных данных

"Кадровик. ру", 2010, N 8

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Любая кадровая служба ежедневно имеет дело со сведениями, которые законодательство РФ определяет термином "персональные данные". Обращаясь к этой теме, следует иметь в виду, что в Российской Федерации разработана достаточная законодательная база, регламентирующая работу с данной категорией информации <*>.

--------------------------------

<*> Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Определение персональных данных работника дано в ч. 1 ст. 85 Трудового кодекса Российской Федерации: "Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника". Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" относит персональные данные к конфиденциальной информации.

В соответствии с гл. 14 ТК РФ каждая организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок работы с персональными данными ее работников.

Таким локальным актом, как правило, является положение о защите персональных данных работников. Этот документ должен регламентировать в рамках отдельной организации требования к получению, обработке персональных данных работника, установить гарантии их защиты, порядок хранения и использования, а также права работника по защите его персональных данных и ответственность работодателя за их охрану и защиту. Иными словами, организация на основе российского законодательства и с учетом особенностей кадрового учета создает и закрепляет нормативным актом порядок работы с персональными данными.

Законодательными и нормативными правовыми актами не установлено требований к оформлению и содержанию этого документа. Поэтому при его разработке используют общие правила оформления организационных документов: в заголовочной части указываются наименование организации, дата и номер документа, в правом верхнем углу располагается гриф утверждения. Положение утверждает руководитель организации, и с этого момента оно вступает в силу.

Примерная структура этого документа включает следующие разделы:

1) "Общие положения";

2) "Состав персональных данных работника";

3) "Порядок создания, обработки, хранения персональных данных";

4) "Доступ к персональным данным";

5) "Защита персональных данных".

В разделе "Общие положения" формулируется цель разработки персональных данных, даются ссылки на законодательные акты, на основании которых создан документ, определяются порядок введения положения в действие и порядок его пересмотра. Здесь же устанавливаются конфиденциальность информации и ответственность должностных лиц организации за разглашение персональных данных.

Второй раздел "Состав персональных данных работника" включает список данных работника, которые он сообщает работодателю при наступлении трудовых отношений, и сведений, возникающих в ходе этих отношений. Кроме того, здесь должна содержаться информация, необходимая организации для предоставления в военкоматы, органы налоговой службы, социального обеспечения, Пенсионного фонда. Раздел небольшой по объему, но принципиально важный для работников организации. Так, в него могут войти следующие сведения:

1) фамилия, имя, отчество;

2) дата рождения;

3) место рождения;

4) гражданство;

5) знание иностранного языка;

6) образование;

7) специальность, профессия;

8) стаж работы;

9) состояние в браке;

10) состав семьи;

11) паспортные данные;

12) адрес места жительства (по паспорту и фактический), дата;

13) адрес регистрации по указанному месту жительства, телефон;

14) сведения о воинском учете;

15) сведения о заработной плате.

В зависимости от направления деятельности организации этот список можно дополнить сведениями об изобретениях и патентах, о наличии государственных наград, допуске к государственной тайне, состоянии здоровья и др. Разрабатывая положение, данный раздел следует составлять после анализа всех учетных форм, применяемых в организации.

Очень часто в раздел включают и перечень документов, которые содержат персональные данные и, следовательно, также относятся к конфиденциальной информации. Это трудовой договор (дополнительные соглашения), приказы по личному составу, анкеты, личная карточка работника, личный листок по учету кадров. Полный список таких документов можно составить, изучая номенклатуру дел кадровой службы.

В разделе "Порядок создания, обработки, хранения персональных данных", как правило, содержится информация о структурных подразделениях организации (или о должностных лицах), которые работают с персональными данными. Здесь же следует указать виды носителей (только традиционная бумажная форма, сочетание традиционной и электронной формы), на которых фиксируются персональные данные.

В четвертом разделе "Доступ к персональным данным" устанавливается порядок пользования персональными данными каждым структурным подразделением организации. Оговариваются порядок доступа к ним должностных лиц и работника, к которому эти сведения относятся, третьих лиц по доверенности работника, порядок предоставления персональных данных другим организациям и гражданам. Например: "Персональные данные работников организации предоставляются в установленном порядке в органы Пенсионного фонда РФ, в органы социального обеспечения, контрольно-надзорным органам. Персональные данные работников организации предоставляются страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам при наличии копии договора с работником и его письменного согласия".

Здесь же следует установить и порядок предоставления персональных данных родственникам и членам семей работника. По закону это делается только с письменного согласия работника. Однако раздел "Доступ к персональным данным" можно конкретизировать и указать условия, при которых, например, сведения о заработной плате работника будут сообщаться жене работника, или матери его детей, или лицам, находящимся на его иждивении. Также следует регламентировать состав необходимых документов, подтверждающих право на подобные запросы.

В заключительном разделе положения "Защита персональных данных" перечисляются меры защиты информации от несанкционированного доступа и разглашения. Необходимо указать, в каких структурных подразделениях организации хранятся документы и электронные носители, содержащие персональные данные. Это могут быть служба кадров, бухгалтерия, служба безопасности, отдел режима и т. д. Следует описать меры защиты данных, хранящихся в бумажной форме, - запирающиеся шкафы, сейфы, опечатанное помещение, пропускной режим и т. п., а также меры защиты сведений на электронных носителях.

Мерой защиты персональных данных является и обязательство должностных лиц организации о неразглашении персональных данных. В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" работа с такими сведениями считается неавтоматизированной при непосредственном участии человека. Следовательно, от всех сотрудников организации, имеющих отношение к получению, обработке, хранению персональных данных, должны быть получены расписки о неразглашении. Форма такой расписки может быть дана в приложении к документу. Сами расписки должны храниться в одном деле с подлинником положения. По мере смены должностных лиц эти обязательства должны обновляться.

Положение о защите персональных данных подписывается руководителем кадровой службы. Документ может быть согласован с заинтересованными должностными лицами, например работниками бухгалтерии, юридической службы, службой безопасности и др. С ним следует ознакомить весь персонал организации под расписку. Сотрудники, принимаемые на работу, знакомятся с положением о защите персональных данных точно так же, как и с другими локальными актами организации - коллективным договором, правилами внутреннего трудового распорядка, положением об оплате труда, должностной инструкцией и др. При этом в соответствии со ст. 68 ТК РФ такое ознакомление проводят под роспись и до подписания трудового договора.

Проблемным остается вопрос о получении от работника согласия на обработку его персональных данных. Статья 24 Конституции РФ устанавливает, что сбор, хранение и распространение информации о частной жизни лица без его согласия не допускаются. Исходя из этого, многие организации при оформлении приема на работу требуют от работника заполнения письменного согласия на обработку его персональных данных.

Содержание такого согласия установлено ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Этот документ должен включать:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

В то же время следует обратить внимание на ст. 6 того же Закона, которая устанавливает, что согласия субъекта персональных данных не требуется в случаях, когда обработка информации осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку основу трудовых отношений составляет договор между работником и работодателем, следуя этому положению Закона, согласие работника в письменном виде можно и не получать.

Л. Санкина

Доцент

РГГУ

Москва

Подписано в печать

05.08.2010

Организация защиты персональный данных в организации по ФЗ №152-ФЗ "О персональных данных" | HR-elearning

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1.Уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2.Изменения в уведомление об обработке персональных данных.

Основание:

 Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения.

ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3.Приказ Об организации обработки  персональных данных.
4.Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

Основание: 

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

5.Согласие субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

6.Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

7Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

Основание: 

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18. Обязанности оператора при сборе персональных данных.

ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

8.Документы, определяющие политику оператора в отношении обработки персональных данных.

Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ  «О персональных данных».

Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9.Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10.Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

11.Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.

Основание:

 ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

12.Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.

Основание:

Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

13.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Основание:

Приказ ФСТЭК от 18 февраля 2013 года № 21.

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

14.Документы о классификации информационных систем.

Основание:

 Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.

15.Типовые формы документов.

Основание:

 ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.

16.Документ, устанавливающий требования к  ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.

Основание:

 ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные  условия.

17.Документы, устанавливающие требования  к хранению материальных носителей содержащих персональные данные.

Основание:

 ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации  УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

18.Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.

Основание:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

19.Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20.Документы, устанавливающие порядок обработки персональных данных работников.

Основание:

ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты:

п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статья 87. Хранение и использование персональных данных работников;

Статья 88. Передача персональных данных работников.

21.Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

 

 

ВАЖНО! Для справки рекомендуется ознакомиться с документом:

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

п/п

Наименование документа№ документа, дата
1.Акт классификации и определения уровня защищенности ИСПДн «Бухгалтерия». 
2.Акт определения уровня защищенности ИСПДн  «________». 
3.Акт определения уровня защищенности ИСПДн «……». 
4.Акт о выделении к уничтожению документов, неподлежащих хранению. 
5.Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных. 
6.Акты уничтожения персональных данных. 
7.Описание информационной системы персональных данных «Сотрудники». 
8.Описание информационной системы персональных данных «Клиенты». 
9.Описание информационной системы персональных данных «…..». 
10.Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники». 
11.Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты». 
12.Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..». 
13.Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных. 
14.Инструкция пользователя информационной системы персональных данных. 
15.Инструкция об организации антивирусной защиты. 
16.Инструкция администратора безопасности информационной системы персональных данных. 
17.Инструкция администратора информационной системы персональных данных. 
18.Инструкция пользователя при обработке персональных данных без средств автоматизации. 
19.Инструкция по эксплуатации машинных носителей информации. 
20.План внутренних проверок режима защиты персональных данных.

 

 
21.Политика обработки Персональных данных образец 
22.Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. 
23.Положение о разграничении прав доступа к обрабатываемым персональным данным в  ООО «….». 
24.Положение об обеспечении безопасности персональных данных. 
25.Положение об обработке персональных данных в ООО «….». 
26.Положение об ответственном за обработку персональных данных в ООО  «….». 
27.Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». 
28.Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии. 
29.Приказ о начале обработке персональных данных. 
30.Приказ об ответственных и комиссии по информационной безопасности. 
31.Приказ о назначении сотрудников, имеющих доступ в персональным данным.

— список сотрудников.

 
32.Приказ утверждающий перечень мест хранения материальных носителей персональных данных.

— перечень мест хранения ИСПДн.

 
33.Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн. 
34.Приказ о контролируемой зоне:

— Схема границ.

— Список лиц, имеющих право вскрывать помещение.

— Список лиц, имеющих находиться в помещение.

 

 
35.Перечень персональных данных. 
36.Перечень информационных систем персональных данных. 
37.Согласие сотрудника на обработку его персональных данных. 
38.Согласие клиента на обработку его персональных данных. 
39.Согласие …. на обработку его персональных данных. 
40.Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных. 
41.Журнал поэкземплярного учета средств защиты информации,  эксплуатационной и технической документации к ним, ключевых документов. 
42.Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов. 
43.Журнал учета лицевых счетов пользователей средств криптографической защиты информации. 
44.Журнал учета и выдачи машинных носителей персональных данных. 
45.Журнал учета проверок, проводимых органами государственного контроля (надзора). 
46.Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным. 
47.Журнал регистрации входящих конфиденциальных документов. 
48.Журнал регистрации исходящих конфиденциальных документов
49.Журнал регистрации и выдачи печатей опечатывающих устройств. 
50.Журнал инвентарного учета документов ограниченного распространения. 
51.Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов). 
52.Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер. 
53.Журнал учета хранилищ (сейфов). 
54.Журнал учета ключевой информации. 
55.Журнал учета движения материальных носителей персональных данных. 
56.Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные. 
57.Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

 

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

[Перейти в раздел Кадровое делопроизводство]

Что такое личные данные? | Европейская Комиссия

Ответ

Персональные данные - это любая информация, относящаяся к идентифицированному или идентифицируемому живому человеку . Различные части информации, которые могут быть собраны вместе, могут привести к идентификации конкретного человека, а также составляют персональные данные.

Персональные данные, которые были де-идентифицированы, зашифрованы или псевдонимами , но могут быть использованы для повторной идентификации человека, остаются персональные данные и попадают в сферу действия GDPR.

Персональные данные, которые были переданы анонимно таким образом, что лицо не идентифицируется или более не идентифицируется, больше не считаются персональными данными. Для того чтобы данные были действительно анонимными, анонимизация должна быть необратимой.

GDPR защищает персональные данные независимо от технологии, используемой для обработки этих данных - это технологически нейтрально и применяется как к автоматической, так и к ручной обработке, при условии, что данные организованы в соответствии с заранее определенными критериями (например, в алфавитном порядке).Также не имеет значения, как хранятся данные - в ИТ-системе, с помощью видеонаблюдения или на бумаге; во всех случаях на персональные данные распространяются требования защиты, изложенные в GDPR.

Примеры личных данных

  • имя и фамилия;
  • домашний адрес;
  • адрес электронной почты, такой как [email protected];
  • идентификационный номер карты;
  • данные о местоположении (например, функция данных о местоположении на мобильном телефоне) *;
  • Интернет-протокол (IP) адрес;
  • идентификатор куки *;
  • рекламный идентификатор вашего телефона;
  • данные, хранящиеся в больнице или враче, которые могут быть символом, который однозначно идентифицирует человека.

* Обратите внимание, что в некоторых случаях существует специальное отраслевое законодательство, регулирующее, например, использование данных о местоположении или использование файлов cookie - Директива ePrivacy ( Директива 2002/58 / EC Европейского парламента и Совет от 12 июля 2002 года (OJ L 201, 31.7.2002, стр. 37) и Регламент (ЕС) № 2006/2004 ) Европейского парламента и Совета от 27 октября 2004 года (OJ L 364, 9.12.2004, стр. 1).

Примеры данных, не считающихся персональными данными

  • регистрационный номер компании;
  • адрес электронной почты, такой как [email protected];
  • анонимных данных.

Отзывы

,

GDPR: что такое персональные данные?

Персональные данные лежат в основе GDPR (Общее положение о защите данных), но многие люди до сих пор не уверены, что именно означают «персональные данные». Нет определенного списка того, что является или не является персональными данными, поэтому все сводится к правильной интерпретации определения GDPR:

«Персональные данные» означает любую информацию, касающуюся идентифицированного или идентифицируемого физического лица («субъект данных»).

Другими словами, любая информация, которая явно о конкретном человеке. Но насколько это применимо? ВВПР уточняет:

[A] n идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или на один или несколько факторов, характерных для физическая, физиологическая, генетическая, психическая, экономическая, культурная или социальная идентичность этого физического лица.

Это очень много информации. При определенных обстоятельствах чей-то IP-адрес, цвет волос, работа или политические взгляды могут рассматриваться как личные данные.

Стоит подчеркнуть термин «определенные обстоятельства», потому что, считается ли информация персональными данными, часто зависит от контекста, в котором они собираются.

Контекст это все

Организации обычно собирают много разных типов информации о людях, и даже если одна часть данных не выделяет кого-либо, она может стать актуальной вместе с другими данными.

Например, организация, которая собирает информацию о людях, которые загружают продукты со своего веб-сайта, может попросить их указать свою профессию.

Это не входит в сферу персональных данных GDPR, потому что, по всей вероятности, должность не уникальна для одного человека. Аналогичным образом, организация может спросить, в какой компании они работают, что, опять же, не может использоваться для идентификации кого-либо, если только они не были единственным сотрудником.


См. Также:


Однако во многих случаях эти фрагменты информации можно использовать вместе, чтобы сузить количество людей до такой степени, что вы сможете обоснованно установить чью-либо личность.

Другими словами, если вы ссылаетесь на кого-то с определенным названием должности в конкретной организации, может быть только один человек, который подходит под это описание.

Конечно, это не всегда так. Например, знание того, что кто-то является бариста в Starbucks, не сильно сужает ситуацию.

В этих случаях эти две части информации вместе не будут считаться персональными данными. Однако весьма маловероятно, что эта информация будет храниться без определенного идентификатора, такого как имя человека или номер платежной ведомости.

Имена не всегда считаются персональными данными

Вы можете подумать, что чье-то имя является наглядным примером личных данных; это буквально то, что определяет вас как , вы . Но это не всегда так просто, как объясняет офис Уполномоченного по информации Великобритании:

«Само по себе имя Джон Смит не всегда может быть личной информацией, потому что есть много людей с таким именем.

«Однако, если имя объединено с другой информацией (такой как адрес, место работы или номер телефона), этого обычно будет достаточно, чтобы четко идентифицировать одного человека.”

Тем не менее, ICO также отмечает, что имена не обязательно должны идентифицировать кого-либо:

«То, что вы не знаете имя человека, не означает, что вы не можете опознать [его]. Многие из нас не знают имен всех наших соседей, но мы все еще можем их идентифицировать ».

Руководство к тому, что является (или может быть) персональными данными

Как мы объяснили, может быть трудно сказать, соответствует ли определенная информация определению GDPR личных данных.

Однако компания облачных услуг Boxcryptor предоставляет список вещей, которые можно считать личными данными, либо сами по себе, либо в сочетании с другими данными:

  • Биографическая информация или текущая жизненная ситуация , включая даты рождения, номера социального страхования, номера телефонов и адреса электронной почты.
  • Внешний вид, внешний вид и поведение , включая цвет глаз, вес и черты характера.
  • Данные о рабочем месте и информация об образовании , включая зарплату, налоговую информацию и количество студентов.
  • Частные и субъективные данные , включая религию, политические взгляды и данные геотрекинга.
  • Здоровье, болезнь и генетика , включая историю болезни, генетические данные и информацию об отпуске по болезни.

Скачать бесплатно в формате PDF: Общие положения ЕС о защите данных - Руководство по соответствию

Скачать сейчас >>


Как организации должны обрабатывать личные данные

Если вы не уверены, являются ли хранящиеся вами данные личными данными или нет, лучше с осторожностью допустить ошибку.

Это означает, что необходимо обеспечить безопасность данных, сократить объем хранимых данных, собрать только столько данных, сколько необходимо для выполнения ваших действий по обработке, и хранить данные только в течение срока их выполнения.

Персональные данные, которые вы собираете, должны быть псевдонимами и / или зашифрованы. Псевдонимизация маскирует данные, заменяя идентифицирующую информацию искусственными идентификаторами.

Несмотря на то, что он является центральным для защиты данных - упоминается 15 раз в GDPR - и может помочь защитить конфиденциальность и безопасность персональных данных, псевдонимизация имеет свои ограничения, поэтому в GDPR также упоминается шифрование.

Шифрование

также скрывает информацию, заменяя идентификаторы чем-то другим. Но в то время как псевдонимирование позволяет любому, имеющему доступ к данным, просматривать часть набора данных, шифрование позволяет только утвержденным пользователям получать доступ к полному набору данных.

Псевдонимы и шифрование могут использоваться одновременно или по отдельности.

Спросите DPO, если вы не уверены

Те, кто ищет постоянные советы по управлению собираемыми ими персональными данными, должны проконсультироваться с DPO (сотрудником по защите данных).

DPO - это независимый эксперт, нанятый для руководства организаций в отношении их требований к соблюдению GDPR. Они отвечают за многие задачи, в том числе:

  • Информирование и информирование организации и ее работников об их обязанностях;
  • Мониторинг политики и процедур защиты данных организации;
  • Рекомендации руководству, когда необходимы DPIA (оценка воздействия на защиту данных); и
  • Действуя как точка соприкосновения между организацией и ее надзорным органом.

GDPR утверждает, что определенные организации должны назначить DPO, но даже если это не является обязательным для вас, может быть чрезвычайно полезно иметь такого на борту.

И благодаря гибкости, с которой вы можете найти DPO, вам не нужно разорвать банк, наняв выделенного сотрудника.

GDPR позволяет организациям позволить существующему сотруднику взять на себя обязанности DPO или нанять удаленного DPO на условиях неполного рабочего дня или консультирования.

Первый вариант является более доступным, но также содержит риски.Если сотрудник не является экспертом по защите данных, он не станет надежным источником рекомендаций.

Точно так же GDPR требует, чтобы DPO был свободен от любых конфликтов интересов. В зависимости от своей должностной роли работник может изо всех сил пытаться сбалансировать свои существующие обязанности с обязанностями DPO.

Поэтому удаленный DPO является гораздо более безопасным вариантом, особенно если вы пользуетесь услугами доверенных экспертов в области управления ИТ.

DPO как услуга

Под руководством команды опытных DPO, юристов, адвокатов, экспертов в области информационной и кибербезопасности наша DPO как услуга - идеальный вариант для организаций, которые ищут кого-то, кто мог бы выполнять обязанности DPO удаленно.

Один из наших экспертов по защите данных будет назначен в вашу организацию и будет работать с вами, чтобы понять ваши требования соответствия.

Узнайте больше >>

Версия этого блога была отправлена ​​ союзников опубликовано 7 февраля 2018 года.


,
Персональные данные - соответствует стандартам EU GDPR

Легко понять, почему ваши учетные записи в социальных сетях и то, что вы публикуете в них, могут привести к вашей идентификации. В большинстве случаев, чтобы просто создать свою учетную запись, вам нужно будет ввести некоторые «классические» личные данные, такие как ваше имя или дату рождения. Если оттуда вы публикуете свои фотографии, например, идентификация происходит легко.

Очень обсуждаемая тема - IP-адрес . В GDPR говорится, что IP-адреса должны рассматриваться как личные данные, так как они входят в область « сетевых идентификаторов ».Конечно, в случае динамического IP-адреса , который меняется каждый раз, когда человек подключается к сети, ведутся некоторые законные дебаты о том, может ли это действительно привести к идентификации человека или нет. Вывод заключается в том, что GDPR считает это таковым. Логика этого решения относительно проста. Поставщик услуг Интернета (ISP) имеет запись временного динамического IP-адреса и знает, кому он был назначен. У провайдера веб-сайта есть запись о веб-страницах, к которым обращается динамический IP-адрес (но нет других данных, которые могли бы привести к идентификации человека).Если информация из двух частей будет объединена, провайдер веб-сайта сможет найти личность человека за определенным динамическим IP-адресом. Однако шансы на это невелики, поскольку провайдер должен выполнить определенные юридические обязательства, прежде чем он сможет передать данные поставщику веб-сайта. Таким образом, все IP-адреса должны рассматриваться как персональные данные, чтобы соответствовать требованиям GDPR.

Особой категорией персональных данных являются конфиденциальные данные, которые теперь будут включать генетических и биометрических данных , которые в случае их обработки приведут к уникальной идентификации человека.С другой стороны, данные, относящиеся к уголовным преступлениям и обвинительным приговорам, обрабатываются отдельно - уголовное право выходит за рамки охвата ВВП ЕС. Другим типом данных, который выходит за рамки охвата GDPR, являются полностью анонимные данные, поскольку по ним невозможно идентифицировать отдельных лиц.

,
GDPR Персональные данные и конфиденциальные персональные данные

Статус: изменен

Это модифицированная концепция . Определение персональных данных модифицируется и упрощается, а определение конфиденциальных персональных данных сохраняется и расширяется для охвата генетических данных и биометрических данных. Несмотря на то, что условия обработки персональных данных и конфиденциальных персональных данных остаются, в основном, неизменными.

Чем он отличается от текущей позиции?

Персональные данные

Определение в соответствии с Законом о защите данных 1998 года (DPA): данных, которые относятся к живому человеку, которого можно идентифицировать:

(а) из этих данных; или

(b) из тех данных и другой информации, которая находится во владении или может оказаться во владении контроллера данных;

и включает в себя любое выражение мнения о человеке и любое указание намерений контроллера данных или любого другого лица в отношении человека.

Определение согласно GDPR: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу.

Что изменилось?

Хотя определение выглядит упрощенным, эффект состоит в том, чтобы сделать его более подробным путем ссылки на ряд идентификаторов, включая имя, сетевые идентификаторы (например, IP-адрес) и данные о местоположении.

конфиденциальных персональных данных

Определение по DPA: персональные данные, состоящие из информации по:

(a) расовое или этническое происхождение субъекта данных;

(б) его политические взгляды;

(c) его религиозные убеждения или другие убеждения аналогичного характера;

(d) является ли он членом профсоюза;

(e) его физическое или психическое здоровье или состояние;

(е) его сексуальная жизнь;

(g) совершение или предполагаемое совершение им любого преступления; или

(h) любое разбирательство за любое преступление, совершенное или предположительно им совершенное, распоряжение таким разбирательством или приговор любого суда в таком разбирательстве.

Определение согласно GDPR: данные , состоящие из расового или этнического происхождения, политических убеждений, религиозных или философских убеждений или членства в профсоюзе, генетических данных, биометрических данных, данных о здоровье или данных, касающихся половой жизни или сексуальной ориентации физического лица.

Что изменилось?

Включение генетических и биометрических данных является новым. В определение ранее включалась информация об уголовных приговорах - теперь она рассматривается отдельно и подвергается еще более жесткому контролю.

Условия для обработки

В дополнение к соблюдению всех шести принципов защиты данных (см. Наш брифинг по GDPR: Принципы защиты данных), при обработке персональных данных контроллер данных также должен удовлетворять как минимум одному условию обработки. Если контроллер данных обрабатывает конфиденциальные персональные данные, должно быть выполнено по меньшей мере одно условие обработки конфиденциальных персональных данных. Условия обработки:

Персональные данные

Основания для обработки персональных данных в рамках GDPR широко повторяют данные в соответствии с DPA.Обработка персональных данных будет законной только в том случае, если она удовлетворяет хотя бы одному из следующих условий:

  • Согласие субъекта данных - это в целом то же самое, что и в рамках DPA, но GDPR имеет более узкое представление о том, что представляет собой согласие, а это означает, что получить согласие будет сложнее. На практике это означает, что контроллеры данных должны будут использовать другие условия обработки.
  • Необходим для выполнения договора с субъектом данных или для принятия мер по подготовке к такому договору - нет изменений по сравнению с формулировкой в ​​DPA.
  • Необходим для соблюдения юридического обязательства - это в целом то же самое, что и в рамках DPA. Однако в соответствии с GDPR юридическое обязательство должно быть обязательством государства-члена или законодательства ЕС, которому подчиняется контролер. Однако этот закон не обязательно должен быть установлен законом.
  • Необходим для защиты жизненно важных интересов субъекта данных или другого лица, если субъект данных не может дать согласие - обработка необходима для защиты жизненно важных интересов субъекта данных.На это условие следует полагаться только тогда, когда нет другого доступного основания, например, неотложные состояния.
  • Необходим для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контроллеру - это условие будет применяться, когда обработка необходима для выполнения задачи, выполняемой в общественных интересах или в осуществление официальных полномочий возлагается на контролера. Эти функции должны возникать в соответствии с законодательством государства-члена или ЕС.
  • Необходим для целей законных интересов - это условие больше не может быть использовано государственными органами.

конфиденциальных персональных данных

Основания для обработки конфиденциальных данных в рамках GDPR широко повторяют данные в рамках DPA, но стали немного уже. Любая обработка персональных данных должна удовлетворять как минимум одному из следующих условий:

  • Явное согласие субъекта данных, если только зависимость от согласия не запрещена законодательством ЕС или государства-члена - , нет изменений в формулировке DPA.
  • Необходим для выполнения обязательств в соответствии с законодательством о занятости, социальном обеспечении или социальной защите или коллективным договором - это расширяет формулировку в DPA путем ссылки на соблюдение обязательств по социальному обеспечению, закону о социальной защите и коллективных соглашений ,
  • Необходим для защиты жизненно важных интересов субъекта данных, который физически или юридически неспособен дать согласие - это эквивалентно формулировке в DPA.
  • Обработка, осуществляемая некоммерческим органом с политической, философской, религиозной или профсоюзной целью, при условии, что обработка относится только к членам или бывшим членам (или к тем, кто имеет регулярные контакты с ней в связи с этими целями) и при условии отсутствия раскрытия третьему лицу без согласия - это эквивалентно формулировке в DPA.
  • Данные, явным образом обнародованные субъектом данных - это эквивалент формулировки в DPA.
  • Необходим для создания, исполнения или защиты судебных исков или в тех случаях, когда суды действуют в своем судебном качестве - это то же самое, что и в DPA, но была добавлена ​​формулировка в отношении обработки данных судами, действующими в своем судебном качестве.
  • Необходим по причинам, представляющим значительный общественный интерес на основе законодательства Союза или государства-члена, которое соразмерно преследуемой цели и содержит соответствующие защитные меры - это означает, что государства-члены могут расширить обстоятельства, когда конфиденциальные данные могут обрабатываться в общественный интерес
  • Необходим для целей профилактической медицины или медицины труда, для оценки работоспособности работника, постановки медицинского диагноза, оказания медицинской или социальной помощи или лечения или управления системами и услугами здравоохранения или социальной защиты на основе Союза или члена Закон штата или договор с медицинским работником
  • Необходим по причинам общественного интереса в области общественного здравоохранения, таких как защита от серьезных трансграничных угроз для здоровья или обеспечение высоких стандартов здравоохранения и лекарственных средств или медицинских изделий - оба эти условия расширяют позиции под DPA, предоставляя юридическое обоснование нормативного использования медицинских данных в здравоохранении и предоставляя медицинские данные поставщикам социальных услуг.
  • Необходим для целей архивирования в общественных интересах, а также для научных и исторических исследований или в статистических целях в соответствии со статьей 89 (1) - это новое условие в рамках GDPR и предусматривает, что конфиденциальные данные могут обрабатываться для целей архивирование, исследования и статистика.

Какое влияние оказывают организации?

Хотя определения шире, чем эквивалентные определения в текущем DPA, по большей части они просто кодифицируют текущее руководство и прецедентное право в отношении значения «персональные данные».

Однако, будет намного сложнее обрабатывать информацию о судимости.

Какие действия требуются?

  • Просмотрите существующие данные, собранные и обработанные, и определите, собирает и обрабатывает ли ваша организация данные, полученные в соответствии с расширенными определениями в рамках GDPR. Знайте, что может быть включено в «идентифицируемое физическое лицо» как часть определения Персональных данных.
  • Ознакомьтесь с условиями, в которых ваша организация обрабатывает персональные данные и конфиденциальные персональные данные.Если вы полагаетесь на согласие, используемые механизмы согласия должны быть пересмотрены, чтобы убедиться, что они соответствуют более высокому порогу в рамках GDPR.
  • Определите, влияют ли условия вашей организации на обработку на права отдельных лиц. Мы расскажем о правах отдельных лиц позже в этой серии.
  • Если вы обрабатываете значительные объемы генетических, биометрических данных или данных о состоянии здоровья, обратите внимание на национальные события, поскольку государства-члены имеют право устанавливать дополнительные условия на основании, изложенном в GDPR.
,

Отправить ответ

avatar
  Подписаться  
Уведомление о