Пакет документов на предпртятии по персональным данным

Содержание
  1. Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?
  2. Что первым проверит Роскомнадзор?
  3. Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.
  4. Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?
  5. Разработка документов по персональным данным в организации – подготовка документов по защите ПДн
  6. Целесообразность самостоятельной подготовки документации
  7. Разработка документов по персональным данным в организации согласно действующим правовым нормативам
  8. Этапы взаимодействия с клиентом при заказе услуги
  9. Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
  10. Разберемся с терминами
  11. Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
  12. Чем грозит невыполнение требований по обработке персональных данных
  13. Выводы
  14. Основные нормативные документы, касающиеся обработки персональных данных
  15. Организация работы с персональными данными
  16. Что такое персональные данные
  17. Оператор по обработке персональных данных
  18. Положение о работе с персональными данными
  19. Фрагмент Положения о персональных данных работников
  20. Если есть профсоюз
  21. Ознакомление работников с Положением
  22. 5 шагов по организации учета и хранения персональных данных
  23. Какие данные являются персональными
  24. Обработка персональных данных
  25. Организация учета и хранения персональных данных
  26. Подведем итоги

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора?

Пакет документов на предпртятии по персональным данным

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб. Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации.

Тем не менее, угроза эта касается не только крупных коммерческих организаций. Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них:

ФИО;

дата рождения;

паспортные данные;

адрес места регистрации и/или проживания;

контактная информация;

номер ИНН;

номер СНИЛС;

номер банковской карты и/или лицевого счета.

Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор?

Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией. Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.

Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна.

ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.

Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист.

Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Чек-лист готовности пакета документов к проверке Роскомнадзора для юридических лиц и индивидуальных предпринимателей.

    1. Акт установления уровня защищенности информационных систем персональных данных.
    2. Акт классификации государственной информационной системы или муниципальной информационной системы.
    3. Журнал регистрации письменных запросов граждан на доступ к своим персональным данным.
    4. Журнал регистрации обращений граждан для получения доступа к своим персональным данным.
    5. Журнал регистрации инцидентов информационной безопасности.
    6. Заключение об оценке вреда субъектам персональных данных.
    7. Инструкция об осуществлении контроля выполнения требования по защите персональных данных.
    8. Инструкция по допуску лиц в помещения, в которых ведется обработка персональных данных.
    9. Инструкция по учёту машинных носителей и регистрации их выдачи.
    10. Модель угроз.
    11. Отзыв согласия субъекта персональных данных.
    12. Перечень информационных систем персональных данных.
    13. Перечень мероприятий по защите персональных данных.
    14. План внутренних проверок состояния защиты персональных данных.
    15. Политика обработки персональных данных.
    16. Положение об ответственном за организацию обработки персональных данных.
    17. Положение о порядке обработки персональных данных.
    18. Положение по работе с инцидентами информационной безопасности.
    19. Приказ «О ведении журнала ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и обучения указанных сотрудников.
    20. Приказ «О журнале учета посетителей».
    21. Приказ «О журнале регистрации инцидентов информационной безопасности».
    22. Приказ «О журнале учёта проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля».
    23. Приказ «О назначении ответственного за организацию обработки персональных данных».
    24. Приказ «О назначении комиссии по работе с инцидентами информационной безопасности».
    25. Приказ «О создании комиссии по установлению уровня защищенности персональных данных в информационных системах персональных данных».
    26. Приказ «Об организации мероприятий по защите персональных данных».
    27. Приказ «Об ответственности за обработку и защиту персональных данных».
    28. Приказ «Об установлении границ контролируемой зоны объектов информатизации».
    29. Приказ «Об утверждении мест хранения материальных носителей персональных данных».
    30. Приказ «Об утверждении перечня лиц, имеющих право доступа в помещения, где размещены используемые средства криптографической защиты информации (СКЗИ), хранятся СКЗИ и (или) носители ключевой и аутентифицирующей и парольной информации СКЗИ».
    31. Приказ «Об утверждении типового обязательства работника о неразглашении персональных данных субъектов персональных данных».
    32. Приказ «Об утверждении типовой формы разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные».
    33. Приказ «Об утверждении форм актов уничтожения персональных данных».
    34. Приказ «Об утверждении форм согласий на обработку персональных данных».
    35. Приказ «Об утверждении типовой формы поручения обработки персональных данных».
    36. Типовая форма поручения обработки персональных данных.
    37. Уведомление об обработке персональных данных.

Что делать, если ваш пакет ОРД неполный или ненадлежащего качества?

Естественно, организационно-распорядительную документацию необходимо привести в порядок – дополнить недостающими документами и актуализировать имеющиеся. Но разрабатывать документацию вручную — трудоемкий и длительный процесс. Автоматизируйте его! Воспользуйтесь системой DocShell. Узнайте, как она работает.

Оставьте заявку на подключение бесплатного тестового доступа к системе по бесплатному номеру телефона 8-800-770-01-31.

Источник: https://docshell.ru/personal-data/check_list_docs_proverka_rkn_pdn_urlitso/

Разработка документов по персональным данным в организации – подготовка документов по защите ПДн

Пакет документов на предпртятии по персональным данным

Разработка пакета внутренних документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.

В целях предотвращения утечки и неправомерного использования личной информации физических лиц власти РФ законодательно закрепили обязанность каждого оператора ПДн выполнять ряд требований, связанных с обеспечением защиты персональных данных. Разработка организационно-распорядительной документации входит в комплекс мероприятий, предусмотренных ФЗ № 152 наряду с необходимостью назначения ответственных лиц, корректировки бизнес-процессов и осуществления внутреннего контроля.

Документы должны быть у каждой компании, физического лица, муниципального органа и прочих организаций, которые занимаются обработкой и другими операциями с ПДн.

Их тщательно изучают в рамках проверок сотрудники Роскомнадзора и Роструда и при выявлении нарушений накладывают штрафы.

Особенно серьезно к данному вопросу следует подойти тем, кто в дальнейшем будет проходить аттестацию ФСТЭК: если не привести журналы, приказы, инструкции и т.д. в соответствие с установленными требованиями, то аттестат не выдадут до исправления ошибок.

К сожалению, реалией нашего времени является отсутствие в штате компаний специалиста, хорошо разбирающегося в вопросах обработки и защиты персональных данных, а обучение уже существующего работника предполагает отрыв его от основных обязанностей и налагает серьезные финансовые затраты. Именно поэтому привлечение профессиональных исполнителей на договорной основе является сейчас наиболее выгодным выходом из сложившейся ситуации.

Оказывая полный спектр услуг в сфере обеспечения информационной безопасности, наш Центр предлагает профессиональную помощь в урегулировании любых проблем.

С нами разработка документов по защите персональных данных займет минимум времени, не потребует чрезмерных финансовых затрат и выделения сотрудников из штата — наши специалисты подготовят пакет бумаг на основании предоставленных вами сведений. Сроки и стоимость услуг оговариваются в индивидуальном порядке с учетом объема и сложности работ.

Целесообразность самостоятельной подготовки документации

Обращение к специалистам при необходимости составления организационно-распорядительных бумаг и приведения их в соответствие с ФЗ-152 — оптимальное решение как для крупной компании, так и для предпринимателя, поскольку:

  • весь перечень работ осуществляется в формате аутсорсинга — персонал может продолжать выполнение должностных обязанностей;
  • исключена вероятность ошибок, поскольку документы составляют профессионалы, которые разбираются в статьях закона и связанных с ним подзаконных актах;
  • от момента заказа услуги до получения документации проходит в среднем 7-10 дней, что позволяет быстро подготовиться к проверкам и аттестационным мероприятиям;
  • есть возможность комплексного обслуживания — вы можете поручить сотрудникам центра оценку эффективности ПДн, интеграцию системы защиты персональных данных, аудит и т.д.

Разработка документов по персональным данным в организации согласно действующим правовым нормативам

Центр безопасности данных является высокопрофессиональным интегратором систем защиты персональных данных. В штате нашей компании присутствуют как специалисты технического, так и юридического профиля, которые в синтезе дают прекрасное сочетание для разработки различных комплектов документации, соответствующих предъявляемым техническим требованиям и правовым нормам.

Подготовка документации по ПДн осуществляется на основе тщательного изучения положений не только ФЗ-152, но и Постановлений Правительства и других нормативных актов, регулирующих вопросы обеспечения безопасности личных сведений граждан при их хранении и обработке.

Наш центр разрабатывает документы с учетом Приказа ФСТЭК РФ № 21 от 18 февраля 2013 года и Постановления Правительства № 1119 от 01.11.2012.

Как лицензиат Федеральной службы по техническому и экспортному контролю мы точно знаем, какие требования предъявляются данной организацией, что позволяет эффективно помогать компаниям, нацеленным на прохождение аттестации.

Пакет документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей компании и состоит из более чем 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

В ходе работ разрабатываются общие документы (концепции, положения, приказы, инструкции, планы, перечни, формы уведомлений и запросов) и индивидуальные для каждой Информационной системы персональных данных документы (модели угроз, описания, акты классификации, технические задания и т.п.)

В зависимости от особенностей деятельности предприятия или ИП, эксперты Центра составляют уведомление в Роскомнадзор о факте обработки персональных данных для включения в реестр, а также разрабатывают индивидуальный пакет документов, который включает:

  1. Приказы, определяющие ответственных лиц по вопросам безопасности ПДн, границ зоны контроля, создания режима обеспечения защиты данных и ограничения доступа, организации защитных мероприятий, а также уполномоченных за проведение и анализ результатов внутренних проверок. Также в комплект входят приказы, регулирующие оборот криптографических средств защиты ПДн (если они применяются) и проведение ознакомительных мероприятий для сотрудников.
  2. Положения об организации процесса обработки сведений, в том числе без применения средств автоматизации, и обеспечения их безопасности.
  3. Списки персональных данных, сотрудников, которые имеют допуск к их обработке, и ИСПДн.
  4. Журналы учета сотрудников с правом доступа к СЗПДн (средствам защиты, техническим документам и т.д.), обработке персональных данных, а также проведенным надзорными органами проверок и фиксации обращений субъектов ПДн.
  5. Акты, определяющие вероятный вред субъектам персональных данных и оценивающие текущий уровень информационной защищенности.
  6. Инструкции по организации работы с персоналом для ознакомления с нормативами законодательства, защиты и правил работы в информационной системе ПДн, внедрения антивирусов и паролей, а также обновления ПО и поведения сотрудников в непредвиденных обстоятельствах.
  7. Регламенты осуществления внутреннего контроля на предприятии, реагирования на нарушения и правила обращения с флеш-накопителями и другими машинными носителями ПДн съемного типа.
  8. Форма письменного согласия субъекта на обработку личных сведений.

Разрабатываемые документы полностью соответствуют нормам действующего законодательства Российской Федерации о персональных данных.

Этапы взаимодействия с клиентом при заказе услуги

Наш Центр нацелен на предоставление максимально быстрой и квалифицированной помощи, при этом мы в индивидуальном порядке подходим к разработке документации для каждого клиента. Оказание услуги проходит в несколько этапов:

  1. Первичная консультация, обсуждение деталей и заключение официального соглашения, где прописаны обязанности и ответственность сторон, сроки и другие важные моменты сотрудничества.
  2. Сбор и анализ информации.
  3. Подготовка документов по защите персональных данных в течение оговоренного периода. Документация будет адаптирована под вашу деятельность и законодательные нормативы.
  4. Передача документации вместе с инструкциями и рекомендациями по интеграции.

Преимущества нашего решения по разработке документов

Вы получите полный комплект документов, регламентирующих вопросы защиты персональных данных для вашей компании, что позволит вам пройти проверки контролирующих органов (Роскомнадзора, Роструда) в области персональных данных.

Комплект документов, регламентирующих вопросы обработки и защиты персональных данных, разрабатывается индивидуально для вашей организации и состоит более чем из 40 документов от концепций и положений до шаблонов уведомлений и образцов писем.

Документы будут разработаны «под ключ» с учетом направления деятельности вашей организации и индивидуальных внутренних бизнес-процессов. Разрабатываемые документы соответствуют нормам действующего законодательства Российской Федерации о персональных данных.

Вы получите шаблоны запросов, уведомлений и писем-ответов, необходимых для взаимодействия с контролирующими органами, субъектами персональных данных и третьими лицами.

Вы получите общее понимание вопросов обработки персональных данных и представление о дальнейших действиях по построению комплексной системы защиты персональных данных.

Приведем обработку персональных данных в вашей компании в соответствие требованиям Федерального закона №152-ФЗЗаказать подготовку

Источник: https://data-sec.ru/services/personal-data/documents/

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Пакет документов на предпртятии по персональным данным

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Организация работы с персональными данными

Пакет документов на предпртятии по персональным данным

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться.

Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • – листе ознакомления с Положением (образец на с. 91);
  • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО “Черный лес”

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

5 шагов по организации учета и хранения персональных данных

Пакет документов на предпртятии по персональным данным

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Закон-Указ
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: