Перечень действий с персональными данными: что это и где он указывается
Все предприятия обязаны обеспечить сохранность персональных данных (ПД) работников и закрепить это в своих локальных актах. Часто вызывают трудности формулировки и понятия в таких документах.
Разбираемся с перечнем действий с персональными данными, целями таких действий и правовым основанием.
Что это за перечень и куда его вносят
Перечень действий, его еще называют обработкой персональных данных, утвержден п. 3 ст. 3 закона о персданных от 27.07.2006 № 152-ФЗ. Любые операции, совершаемые со сведениями физического лица с использованием или без использования программного обеспечения, относятся к такому перечню.
Перечень не является закрытым, он используется весь или частично, в него можно вносить дополнения.
В соответствии с законом, образец всех действий по работе с ПД работников выглядит следующим образом:
Например, при заключении трудового договора с работником организация или индивидуальный предприниматель осуществляет следующие действия:
- собирает ПД будущего работника;
- записывает их, оформляя в программе 1С или в иных системах;
- вносит информацию об изменениях ПД;
- обеспечивает надежное хранение;
- передает данные работника в органы власти в целях выполнения требования законодательства.
Действия с ПД осуществляются с согласия субъекта персональных данных (п. 1 п. 1 ч. 1 ст. 6 закона о персданных). Организациям (или ИП) рекомендуется включать их в документы, которые составляются ими в качестве оператора ПД.
Это, например:
- политика обработки персональных данных;
- положение о работе с ПД и их защите;
- согласие физического лица или работника на действия с его ПД.
Перечень действий указывается и в уведомлении в Роскомнадзор о намерении организации (или ИП) осуществлять обработку ПД. На основании уведомления Роскомнадзор вносит предприятие в реестр операторов обработки перс. данных.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – это уполномоченный орган, который:
- контролирует соответствие работы с ПД требованиям законодательства;
- работает с обращениями граждан, вплоть до представления их интересов в суде;
- ведет реестр операторов ПД.
С 01.09.2022 расширили список случаев, при которых подается уведомление. Один из самых заметных – это уведомление о намерении обработки ПД в целях трудового законодательства, то есть теперь уведомления подают все организации и индивидуальные предприниматели, которые имеют наемных работников (ст. 22 закона о перс. данных, письмо Роскомнадзора от 06.09.2022 № 08-80975).
Форму уведомления разрабатывает уполномоченный орган (ч. 8 ст. 22 закона о перс. данных).
На сегодняшний день действует рекомендованная форма, утвержденная приказом Роскомнадзора от 30.05.2017 № 94, также возможно заполнение уведомления на сайте Роскомнадзора.
Вот пример заполнения части уведомления, касающегося перечня действий:
Как составить перечень и правильно указать цели обработки персональных данных
Перечень действий, которые указывают в локальных актах, зависит от целей обработки и их правового обоснования (п. 3.1 ст. 22 закона о перс. данных).
При обработке персональных данных в целях ведения кадрового учета правовое основание – Трудовой кодекс, а перечень действий – сбор, запись, систематизация, накопление, хранение, изменение, удаление и уничтожение.
Передача ПД работника в отчетах контролирующим органам осуществляется в целях налогового и персонифицированного учета. Правовым обоснованием станут нормативные документы, на основании которых отправляются сведения о работниках и отчеты. Это Налоговый кодекс, закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний», закон от 01.04.1996 № 27-ФЗ о персонифицированном учете.
Цель – ведение воинского учета, обосновывается постановлением Правительства от 27.11.2006 № 719 «Об утверждении положения о воинском учете» и подразумевает сбор, хранение и передачу ПД.
При награждении и поощрении сотрудников их фотографии размещаются в сети Интернет на корпоративном сайте или на доске почета. Повышение профессиональной репутации, поощрение работников – это все пишут в целях обработки персональных данных. Правовым обоснованием станет Трудовой кодекс, в силу которого работодатель поощряет работников, способствует повышению их квалификации. Перечень действий – распространение, публикация.
Необходимо помнить, что обработка в виде размещения ПД или передачи их третьим лицам требует письменного согласия работника.
Вот для примера образец, что писать в целях обработки персональных данных:
?
В разделах 3 и 4 указаны цели и правовое основание обработки ПД.
#статьи
- 30 сен 2021
-
0
Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.
Polina Vari для Skillbox Media
Обозреватель Skillbox Media, отраслевой журналист. Работала с TexTerra, SMMplanner, «Нетологией», «ПланФактом», Semantica. Написала больше 60 текстов для рекламных кампаний в «Дзене». Вела нишевой канал на YouTube.
Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.
Сайт: RTM Group
- Что такое персональные данные
- Уведомление Роскомнадзора
- Необходимые документы и их шаблоны
- Согласие на обработку персональных данных
- Ответственность за нарушение закона
Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Это могут быть:
- фамилия, имя, отчество;
- мобильный телефон;
- электронная почта;
- адрес проживания;
- фотография;
- паспортные данные;
- другие сведения, позволяющие идентифицировать человека.
Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.
Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:
- Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
- Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
- Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.
В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.
О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.
Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.
Перед подачей заявления нужно подготовиться:
- Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
- Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.
Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:
- заполнить, распечатать и отправить в местное отделение Роскомнадзора;
- заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
- заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».
Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.
Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:
- обрабатываете данные сотрудников по ТК РФ;
- используете только Ф. И. О.;
- выдаёте разовый пропуск на территорию.
Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.
Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.
Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.
Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:
- Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
- Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
- Салон выступает посредником при продаже услуг страхования.
- Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.
Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
- Политику конфиденциальности.
- Правила работы с персональными данными.
- Согласие на обработку персональных данных.
- Обязательство о неразглашении персональных данных.
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.
Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.
Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.
Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.
Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.
Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.
Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.
Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.
В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.
Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».
Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.
Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.
По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:
- для граждан — от 700 до 100 000 рублей;
- для должностных лиц — от 3000 до 800 000 рублей;
- для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
- для юридических лиц — от 15 000 до 18 000 000 рублей.
Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.
Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.
Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.
Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.
Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.
Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.
Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.
Научитесь: Профессия Директор по маркетингу
Узнать больше
Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Заполните форму ниже, чтобы продолжить.
Нажимая на кнопку «Далее», вы даете свое согласие на обработку персональных данных согласно Политике конфиденциальности .
Узнайте, какие правовые риски угрожают вашему сайту!
В рабочее время перезвоним
в течение 15 минут!
Статья
Персональные данные
Документы на обработку персональных данных
для сайта и организации
1) для защиты от штрафов (до 6 580 000 ₽ с 27.03.2021 г.);
2) для успешного прохождения проверок и профилактических визитов Роскомнадзора;
3) для соответствия новым требованиям Закона №152-ФЗ (от 01.09.2022 г.
и 01.03.2023 г.), в частности:
- требования к согласиям на обработку ПДн;
- требования к политике конфиденциальности и локальным актам;
- требования к сроку реагирования на запросы субъектов;
- требования к поручению обработки ПДн;
- требования к уведомлению Роскомнадзора об обработке ПДн;
- требования к трансграничной передачи;
- требования к оценке степени вреда и уничтожению ПДн.
На этой странице вы сможете найти перечень необходимых документов для соответствия требованиям Федерального закона №152-ФЗ «О персональных данных» и прохождения проверок Роскомнадзора.
Поможем бизнесу выполнить новые требования 152-ФЗ
Напишите нам, мы свяжемся с вами
и ответим на все ваши вопросы!
Оператор — физическое или юридическое лицо, обязан принимать меры по защите личной информации граждан от несанкционированного доступа, ее копирования и распространения без согласия субъекта. Это достигается, в том числе организацией правильного хранения персональных данных. Разбираемся, какие есть требования по закону, и как их выполнять.
Общие требования к обработке и хранению персональных данных
Перечислим основные положения Закона №152-ФЗ, которые должен знать оператор:
- Обработка персональных данных (ПД) допускается строго в рамках законных целей. Их оператор указывает в своей Политике, а также в уведомлении Роскомнадзора о начале деятельности с перданными. Цели определяют исходя из видов деятельности организации или ИП, законодательных требований. Например, работодатель может собирать персональные данные в резюме для поиска подходящего кандидата на заполнение вакансии.
- Нельзя объединять базы данных с личной информацией граждан, обрабатываемых в несовместимых целях. Это означает, что сведения о работниках нужно держать отдельно от ПД клиентов.
- Срок хранения персональных данных заканчивается с достижением целей их обработки, если иное не установлено законодательством или договором с субъектом ПД. Работодатель должен учитывать, что сфера действия Закона № 152-ФЗ не распространяется на архивную деятельность. То есть при определении сроков хранения документов всегда нужно учитывать Приказ Росархива от 20.12.2019 №236.
- К носителям информации (бумага, флешки, жесткий диск ПК, облачные хранилища) с биометрическими данными предъявляются усиленные требования по ч. 10 ст. 19 Закона №152-ФЗ. Работодатель должен полностью исключить неправомерные или случайные доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение.
Конкретные требования к хранению персональных данных зависят от выбранного способа обработки. По Закону №152-ФЗ их два: автоматизированный и исключительно без средств автоматизации, то есть без использования вычислительной техники. На практике у работодателя может применяться смешанный способ, когда часть ПД обрабатывается на компьютере, а часть — исключительно вручную.
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
|
Бланк приказа о назначении ответственного за обработку персданных |
|
|
Образец положений согласия на распространение персданных |
|
|
Примерная форма политики по персданным |
|
|
Пример нового согласия на обработку персданных
|
|
|
Чек-лист для аудита документов по персданным
|
Требования к хранению персональных данных в информационных системах
Основные правила обработки ПД в электронном виде установлены ст. 19 Закона №152-ФЗ и Постановлением Правительства РФ от 01.11.2012 №1119. В них приведены требования к защите персданных в информационных системах (ИС), которые состоят из баз данных с личной информацией, информационных технологий и средств обработки. Официальный сайт оператора тоже относится к ИС, если на нем есть сбор и хранение персональных данных физических лиц.
Информационные системы, в зависимости от категорий ПД, бывают:
- общедоступными, где содержатся Ф.И.О., адрес, место работы, образование субъекта и другая личная информация, которую
- специальными — в них обрабатываются сведения о расовой, национальной принадлежности, политических взглядах и убеждениях, отношении к религии, состоянии здоровья физлица;
- биометрическими;
- иными, если в них не обрабатываются перечисленные выше три категории данных.
Степень защиты ИС зависит от категории ПД. К общедоступным предъявляется меньше всего требований. Чуть строже они к иным ПД. Самые серьезные требования существуют для специальных персональных данных. Именно содержащаяся в них информация способна принести наибольший ущерб и моральный вред гражданину.
Оператор должен оценить угрозы безопасности персданных в электронном виде и выстроить в зависимости от них защищенную ИТ-инфраструктуру. В Постановлении №1119 приведено три типа угроз. С учетом их устанавливается четыре уровня защищенности (УЗ). При этом также учитывается, какие категории ПД использует оператор.
Личную информацию в ИС 3 и 4 уровня защиты можно обрабатывать в облачных хранилищах, если они соответствуют ст. 19 Закона №152-ФЗ. К информационным системам с УЗ 1 и 2 предъявляются гораздо более строгие требования.
Кроме обеспечения защиты ИС, оператор должен получить в большинстве случаев согласие на обработку, в том числе хранение персональных данных от гражданина. Правовые основания, когда это не обязательно, установлены в самом Законе №152-ФЗ.
|
Важно! Конкретные организационные и технические мероприятия по защите персональных данных разрабатываются с учетом Приказа ФСТЭК от 18.02.2013 №21. |
Требования к хранению ПД в бумажном виде
До 1 сентября 2022 года под неавтоматизированной обработкой персданных понимались действия, производимые при непосредственном участии человека — Постановление Правительства РФ от 15.09.2008 №687. В связи с поправками в ст. 22 Закона №152-ФЗ появился термин «исключительно без средств автоматизации». То есть без использования вычислительной техники, если брать определение из ст. 3 Закона №152-ФЗ.
Предполагаем, что Положение №687 можно применять при неавтоматизированной обработке ПД в той части, в какой оно не регулирует работу с компьютерной техникой.
Компания использует бумажные носители с персональными данными: личные дела, трудовые книжки, договоры с работниками, также бухгалтерские ведомости на выплату зарплаты или командировочных. Чтобы обезопасить информацию в этих документах следует ответственно подойти к вопросу их хранения:
- держать бумаги нужно в сейфах или металлических несгораемых шкафах, которые запираются на замок. Или оборудовать специальное помещение, например, отдельное помещение кассы со стальной дверью;
- информацию, которую обрабатывают в разных целях, стоит держать отдельно друг от друга, также документы, у которых срок хранения персональных данных разный, лучше не смешивать;
- не хранить в личных делах сотрудников: копии паспорта, СНИЛС и ИНН, свидетельства о браке или рождении ребенка, и все остальные, которые Роскомнадзор при проверке признает как содержащие избыточные персональные сведения.
|
Обратите внимание! Закон не запрещает хранить копии этих документов или их сканы, но только если работник дал согласие на хранение персональных данных и обработку, в котором указываются объем персональных сведений, способы и цели работы с ними. Но как показывает судебная практика, лучше не рисковать и уничтожить копии после того, как использовали информацию. |
|
Совет
За хранение резюме соискателей можно получить штраф от Роскомнадзора, потому что там тоже содержатся персональные данные. Резюме разрешается использовать в течение срока, пока сотрудник кадровой службы рассматривает потенциальных кандидатов. Не храните этот документ ни в распечатанном виде, ни в электронном, например, присланный на e-mail, если вакансия уже закрыта. Если в компании формируется кадровый резерв, у каждого кандидата возьмите согласие на хранение сведений о нем и укажите цель хранения. |
Как организовать хранение персональных сведений в компании: пошаговая инструкция
Чтобы обработка и хранение персональных данных в организации соответствовали нормам ФЗ-152 нужно разработать все требуемые документы и следовать определенным правилам:
- установить и зафиксировать в Положении о хранении персональных данных порядок доступа в специальное помещение или к местам хранения персональной информации согласно п.13 постановления Правительства от 15.09.2008 № 687.
- Назначить тех, кто будет обрабатывать персданные и нести за это ответственность. Это могут быть работники кадровой службы или бухгалтерии. Ознакомить работников под роспись с этим документом. Как назначить ответственного за персданные, читайте здесь.
- Составить перечень персональных данных, которые будут обрабатывать в организации. В том числе те, которые передают третьим лицам: в ПФР, ГИТ, налоговую или статистику;
- Заранее разработать формы заявлений о согласии на обработку, хранение и передачу персональных сведений, также журналы учета и проверок — в случае если неожиданно придут проверяющие из Роскомнадзора или ФСТЭК;
- Выбрать место для хранения персональных данных на бумаге и оформить это приказом.
- Разработать и утвердить форму обязательства о неразглашении персональных данных и подписать его с сотрудниками, которые отвечают за работу с этой информацией;
- Подать уведомление в Роскомнадзор о том, что компания является оператором персональных данных, если еще не подали;
- После необходимо контролировать весь процесс работы с персональными данными, следить за изменениями в законодательстве и периодически проводить независимый аудит.
Оператор при хранении ПД должен обеспечить постоянную защиту их от несанкционированного доступа. С 1 сентября 2022 года о каждой утечке персональных данных следует сообщать в Роскомнадзор:
- в течение 24 часов — об инциденте;
- не позднее 72 часов — о результатах расследования утечки.
Подать уведомление можно на официальном портале Роскомнадзора. Для этого оператору понадобится подтвержденная учетная запись на Госуслугах.
Как определить сроки хранения персональных данных, какими нормативными документами руководствоваться при сборе, обработке и хранении информации о сотрудниках — подробно разобрали на нашем авторском курсе.
Положение о персональных данных работников — образец 2023 года вы найдете в этой статье — должно быть обязательно включено в структуру кадрового документооборота фирмы, имеющей наемных сотрудников. Каковы нюансы составления этого источника? Для чего нужно положение о работе с персональными данными работников? Рассмотрим ответы на эти и другие вопросы, а также приведем образец заполнения такого положения.
Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.
Что такое персональные данные
Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.
Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в «КонсультантПлюс». Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото, например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.
Как составить согласие на обработку персональных данных, смотрите здесь.
См. также «Пропуск с фото может повлечь штраф за персональные данные».
Для чего нужно положение о работе с персональными данными
Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников — посредством издания документов, определяющих политику предприятия в области персональных данных, локальных актов по вопросам обработки данных. При этом соответствующие документы и акты должны определять (для каждой цели обработки данных):
- категории и перечни данных;
- категории субъектов, в отношении которых осуществляется обработка персональных данных;
- способы, сроки обработки, хранения данных;
- порядок уничтожения данных при достижении целей осуществления их обработки либо при появлении иных законных оснований.
Документы и акты не могут включать норм, ограничивающих прав субъектов данных, так же, как и возлагающих на предприятие полномочия и обязанности, что не предусмотрены законом.
Отметим, что в действующих федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.
ВАЖНО! С 1 сентября 2022 года у операторов персональных данных появилась новая обязанность — уведомление Роскомнадзора об установлении фактов неправомерной или случайной утечки персональных данных в течение 24 часов после инцидента (ч. 3.1 ст. 21 закона № 156-ФЗ в редакции, действующей с 01.09.2022).
Узнайте больше из специального материала о новых обязанностях операторов персональных данных.
Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты «КонсультантПлюс». Получите пробный доступ к системе и переходите в материал.
Положение о персональных данных работников: структура документа
Рассматриваемый документ содержит локальные нормы, определяющие:
- цели и задачи фирмы при работе с персональными данными;
- перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
- описание операций с данными, практикуемых компанией;
- способы доступа к данным, используемые в фирме;
- обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
- права сотрудников фирмы на приобретение санкционированного доступа к данным;
- правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.
Персональные данные без штрафов
Время прохождения около 5 мин.
Пройти тест
Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:
- устанавливающим общие положения документа;
- фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
- определяющим перечень ключевых операций с персональными данными;
- регламентирующим осуществление соответствующих операций;
- определяющим порядок доступа работников фирмы и иных лиц к данным;
- устанавливающим обязанности сотрудников, участвующих в операциях с данными;
- устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
- определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.
Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).
Эксперты «КонсультантПлюс» подробно разъяснили специфику обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.
Где можно скачать образец положения об обработке персональных данных работников
Загрузить актуальный для 2023 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале, по ссылке ниже. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.
Скачать образец
Альтернативный бланк положения о персональных данных работников и образец его заполнения предоставили эксперты КонсультантПлюс. Вы можете скачать бланк и образец такого положения бесплатно по этой ссылке.
Итоги
Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.
Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:
- «Воинский учет в организации — пошаговая инструкция»;
- «Какой срок хранения документов в архиве организации».