+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Обработка и хранение персональных данных (Трофимова И.А.)

Подробности 26.09.2018 09:57 О.В. Арабей

Настоящая политика в области обработки и защиты персональных данных администрации МО Куриловское Собинского района (далее – Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, способы и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности администрации муниципального образования Куриловское Собинского района (далее – Оператор) при обработке персональных данных.

Настоящая политика действует в отношении персональных данных, полученных Оператором как до, так и после её утверждения.

Содержание

2. Основные понятия

Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн к конкретному субъекту ПДн.

Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Субъект персональных данных – физическое лицо прямо или косвенно определяемое с помощью персональных данных.

3. Права и обязанности оператора персональных данных

3.1. Оператор до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

3.2. Оператор обрабатывая персональные данные, в зависимости от целей обработки, вправе:

  • получать документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

3.3. Оператор обрабатывая персональные данные, в зависимости от целей обработки, обязан:

  • обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
  • рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
  • предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в администрации муниципального образования Куриловское Собинского района;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать оперативное и архивное хранение документов содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.

3.4. Гарантии конфиденциальности.

3.4.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием муниципальных услуг и осуществлением муниципальных функций, является конфиденциальной информацией и охраняется законом.

3.4.2. Работники и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

4. Права субъектов персональных данных

4.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.

4.2. Субъект персональных данных вправе требовать от Оператора уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору.

Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

4.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Цели сбора и обработки персональных данных

Оператор осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

  • исполнение условий трудовых договоров, заключенных между работниками и Оператором;
  • выполнение требований законодательства о муниципальной службе в Российской Федерации;
  • проведение конкурсов на замещение вакантных должностей муниципальной службы Оператора, а также формирование списков лиц, включенных в кадровый резерв муниципальных служащих и резерв управленческих кадров муниципального образования Куриловское Собинского района;
  • подбор работников администрации муниципального образования Куриловское Собинского района;
  • исполнение условий договоров гражданско-правового характера, заключенных между работниками и Оператором;
  • ведение бухгалтерского и кадрового учета работников Оператора;
  • осуществление отчетности, предусмотренной законодательством Российской Федерации;
  • оформление доверенностей;
  • оказание муниципальных услуг гражданам;
  • приём и рассмотрение обращений граждан.
  • проведение закупок, заключение и исполнение договоров (контрактов);
  • регистрация и обработка сведений, необходимых для реализации Оператором своих полномочий.

6. Правовые основания обработки персональных данных

Политика Оператора в отношении организации обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

Источник: http://kurilovo.sbnray.ru/index.php/politika-v-otnoshenii-obrabotki-personalnykh-dannykh

Политика обработки персональных данных

Обработка и хранение персональных данных (Трофимова И.А.)

1.

1 Покупатель — физическое или юридическое лицо, имеющее намерение приобрести товары на сайте Интернет-магазина.

1.

2 Зарегистрированный покупатель — Покупатель, предоставивший о себе Продавцу индивидуальную информацию (фамилию, имя, отчество, адрес, телефон, адрес электронной почты для физических лиц и фирменное наименование, фактический, юридический адрес, ИНН, ОГРН, КПП, расчетный счет, телефон, адрес электронной почты, фамилию имя отчество лица и должность, контактного лица и лица, имеющего право заключать договора от имени организации), которая может быть использована для оформления Заказа многократно. Данная информация предоставляется при оформлении Заказа.

1.

3 Продавец — ИП Трофимова К. В. (ИНН 772427232219, юридический адрес: г. Москва, Каширское шоссе, 78), осуществляющая продажу товаров посредством Интернет-магазина, размещенного по адресу http://1pad.ru.

1.

4 Интернет-магазин — интернет-сайт, на котором любой Покупатель может ознакомиться с представленными Товарами, их описанием и ценами на Товары, выбрать определенный Товар, способ оплаты и доставки Товаров, оформить Заказ.

1.

5 Товар — объект купли-продажи, представленный к продаже в Интернет-магазине посредством размещения в соответствующем разделе Интернет-магазина.

1.

6 Заказ — оформленный запрос Покупателя на покупку и доставку по указанному адресу Товаров, выбранных в Интернет-магазине.

1.

7 Артикул — обозначение Товара, присвоенное Изготовителем.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1 Настоящие условия продажи товаров в Интернет-магазине (далее «Условия») определяют порядок покупки Товаров через Интернет-магазин физическими или юридическими лицами, далее именуемыми «Покупателем»; при совместном упоминании Продавец и Покупатель также именуются «Сторонами», а каждый по отдельности — «Сторонами».

2.2 Каждая Сторона гарантирует другой Стороне, что обладает необходимой право- и дееспособностью, а равно всеми правами и полномочиями, необходимыми и достаточными для заключения и исполнения договора купли-продажи.

2.3 Заказывая Товары через Интернет-магазин, Покупатель соглашается с настоящими Условиями.

2.4 Продавец оставляет за собой право вносить изменения в настоящие Условия, в связи с чем Покупатель обязуется регулярно отслеживать изменения в Условиях, размещенных на странице Интернет-магазина.

2.5 Покупатель соглашается с настоящими Условиями путем проставления соответствующей отметки при оформлении Заказа.

3. РЕГИСТРАЦИЯ В ИНТЕРНЕТ-МАГАЗИНЕ

3.1 Продавец не несет ответственности за точность и правильность информации, предоставляемой Покупателем при регистрации.

3.2 Покупатель, зарегистрировавшийся в Интернет-магазине, получает индивидуальную идентификацию путем предоставления логина и пароля.

Индивидуальная идентификация Покупателя позволяет избежать несанкционированных действий третьих лиц от имени Покупателя. Передача 3.

3 Покупателем логина и пароля третьим лицам запрещена, Покупатель самостоятельно несет ответственность за все возможные негативные последствия в случае передачи логина и пароля третьим лицам.

3.4 Личные сведения, переданные в распоряжение Интернет-магазина при регистрации или каким-либо иным образом, без разрешения пользователей не будут передаваться третьим организациям и лицам за исключением транспортных компаний, которые осуществляют доставку товара покупателю и ситуаций, когда этого требует закон или судебное решение.

4. ОФОРМЛЕНИЕ И ВЫПОЛНЕНИЕ ЗАКАЗА

4.1 При оформлении Заказа Покупатель подтверждает, что ознакомлен с правилами продажи Товаров через Интернет-магазин и предоставляет Продавцу информацию, необходимую для оформления Заказа.

4.2 Продавец выполняет подготовку и отгрузку заказанных Товаров после получения оплаты.

4.3 В случае возникновения у Покупателя вопросов, касающихся свойств и характеристик Товара, перед оформлением Заказа Покупатель должен обратиться к Продавцу по контактным данным Продавца, опубликованным на сайте Интернет-магазина.

5. ГАРАНТИИ И ОТВЕТСТВЕННОСТЬ

5.1 Продавец не несет ответственности за ущерб, причиненный Покупателю вследствие ненадлежащего использования Товаров, приобретенных в Интернет-магазине.

5.2 Продавец не отвечает за убытки Покупателя возникшие в результате:

  • неправильного указания персональных данных,
  • неправомерных действий третьих лиц.

5.3 Покупатель несет всю ответственность за достоверность сведений, указанных им при регистрации в Интернет-магазине.

5.4 Стороны освобождаются от ответственности за полное или частичное неисполнение своих обязательств, если такое неисполнение явилось следствием действия обстоятельств непреодолимой силы, возникших после вступления в силу Условий, в результате событий чрезвычайного характера, которые Стороны не могли предвидеть и предотвратить разумными мерами.

5.5 В иных случаях, не предусмотренных п. Условий, неисполнения или ненадлежащего исполнения своих обязательств, Стороны несут ответственность в соответствии с действующим законодательством.

6. КОНФИДЕНЦИАЛЬНОСТЬ И ЗАЩИТА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

6.

1 Предоставление информации Покупателем.

6.

2 При регистрации в Интернет-магазине Покупатель предоставляет о себе следующую информацию: фамилия, имя, отчество, адрес электронной почты, номер телефона, адрес доставки Товара. 6.3 Перечень данных, необходимых для оформления Заказа, может быть изменен Продавцом в одностороннем порядке.

6.

4 Продавец использует полученную от Покупателя информацию:

  • для регистрации Покупателя в Интернет-магазине;
  • для выполнения своих обязательств перед Покупателем;
  • для оценки и анализа работы Интернет-магазина.
6.

5 Продавец обязуется не разглашать полученную от Покупателя информацию.

Не считается нарушением предоставление Продавцом информации транспортным компаниям, доставляющим товар Покупателю, агентам и третьим лицам, действующим на основании договора с Продавцом, для исполнения обязательств перед Покупателем. Не считается нарушением обязательств разглашение информации в соответствии с обоснованными требованиями закона.

6.

6 Продавец вправе использовать технологию cookies. Cookies — служебная информация, посылаемая веб-сервером на компьютер пользователя для сохранения в браузере.

Эта информация применяется для хранения данных, специфичных для данного пользователя и используемых веб-сервером для корректной работы Интернет-магазина.

Cookies не содержат конфиденциальную информацию и не передаются третьим лицам.

6.

7 Продавец получает информацию об IP-адресе посетителя Интернет-магазина, сведения о местоположении, тип и версию ОС, тип и версию Браузера, тип устройства и разрешение его экрана, источник откуда пришел на сайт пользователь, с какого сайта или по какой рекламе, язык ОС и Браузера, какие страницы открывает и на какие кнопки нажимает пользователь. Данная информация не используется для установления личности посетителя.

6.

8 Продавец не несет ответственности за сведения, предоставленные Покупателем на Сайте в общедоступной форме, например, в виде отзывов к товарам.

7. ПРОЧИЕ УСЛОВИЯ

7.1 К отношениям между Покупателем и Продавцом применяются положения действующего законодательства.

7.2 Покупатель гарантирует, что все условия настоящих Условий ему понятны, и он принимает их в полном объеме.

7.3 В случае возникновения положительных отзывов либо претензий со стороны Покупателя он должен обратиться к Продавцу по электронному адресу или телефону, указанным на сайте Интернет-магазина.

7.4 Все возникающее споры стороны будут стараться решить путем переговоров. В случае невозможности недостижении соглашения спор будет передан на рассмотрение в суд в соответствии с действующим законодательством.

7.5 Недействительность или несоблюдение одной из Сторон какого-либо положения настоящих Условий не влечет за собой недействительность остальных положений Условий.

7.6 В случае если Покупатель не согласен хотя бы с одним из положений настоящих Условий, он не имеет права пользования Интернет-магазином.

8. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1 Физическое лицо, регистрируясь на интернет-сайте 1pad.ru, обязуется принять настоящее Согласие на обработку персональных данных (далее – Согласие). Принятием Согласия является регистрация на интернет-сайте.

Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, физическое лицо дает свое согласие ИП Трофимова К. В., которому принадлежит сайт 1pad.ru и которое расположено по адресу г. Ростов-на-Дону, пр. Чехова д.19, кв.

36, на обработку своих персональных данных со следующими условиями:

  • Данное Согласие дается на обработку персональных данных, как без использования средств автоматизации, так и с их использованием.
  • Согласие дается на обработку следующих моих персональных данных: Персональные данные, не являющиеся специальными или биометрическими: фамилию, имя, отчество, адрес, телефон, адрес электронной почты для физических лиц и фирменное наименование, фактический, юридический адрес, ИНН, ОГРН, КПП, расчетный счет, телефон, адрес электронной почты, фамилию имя отчество лица и должность, контактного лица и лица, имеющего право заключать договора от имени организации.
  • Цель обработки персональных данных: Соблюдение требований Конституции Российской Федерации, федеральных законов и иных нормативно правовых актов, внутренних актов ИП Трофимова К. В. по исполнению прав и обязательств, появившихся в связи с куплей-продажей товаров и оказанием услуг клиентам.
  • В ходе обработки с персональными данными будут совершены следующие действия: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; блокирование; удаление; уничтожение.
  • Следующие третьи лица обрабатывают предоставленные персональные данные по поручению ИП Трофимова К. В.: Общество с ограниченной ответственностью небанковская кредитная организация «Яндекс.Деньги», Индивидуальный предприниматель Трофимова К. В.
  • Персональные данные обрабатываются до 5 лет. Также обработка персональных данных может быть прекращена по запросу субъекта персональных данных. Хранение персональных данных, зафиксированных на бумажных носителях осуществляется согласно Федеральному закону №125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно правовым актам в области архивного дела и архивного хранения.
  • Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления ИП Трофимова К. В. или его представителю по адресу, указанному в начале данного Согласия.
  • В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных ИП Трофимова К. В. вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 г.
  • Настоящее согласие действует все время до момента прекращения обработки персональных данных, указанных в п.7 и п.8 данного Согласия.

Источник: http://1pad.ru/privacy

5 шагов по организации учета и хранения персональных данных — статья

Обработка и хранение персональных данных (Трофимова И.А.)

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1583

Закон «О персональных данных» — что нужно знать агентству

Обработка и хранение персональных данных (Трофимова И.А.)

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Сквозная аналитика — главная магия интернет-маркетинга и самый мощный инструмент развития продаж без роста бюджета. Внедрив её, вы сразу поймёте, где клиенты теряются и что в вашем маркетинге надо улучшить.

Хотите освоить эту магию? Вот учебный курс где детально объясняют, как всё работает, как внедрять и как использовать на практике.

Спешите узнать подробности, регистрация скоро закроется!

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.