Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Защита персональных данных как прописать в договор

Защита персональных данных как прописать в договор

Персональные данные – 2018: как избежать штрафов

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.

Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

15 марта 2018 Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.

1 июля 2017 года вступил в силу , который внес поправки в .

В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Основание Размер штрафа Физлица Должностные лица Юрлица ИП Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн предупреждение или штраф — от 1000 до 3000 руб.

предупреждение или штраф — от 5000 до 10 000 руб. предупреждение или штраф — от 30 000 до 50 000 руб.

Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб. от 10 000 до 20 000 руб. от 15 000 до 75 000 руб.

Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн от 700 до 1500 руб. от 3000 до 6000 руб. от 15 000 до 30 000 руб. от 5000 до 10 000 руб. Непредоставление субъекту ПДн информации по их обработке предупреждение или штраф — от 1000 до 2000 руб.

предупреждение или штраф — от 4000 до 6000 руб.

предупреждение или штраф — от 20 000 до 40 000 руб. предупреждение или штраф — от 10 000 до 15 000 руб.

Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) предупреждение или наложение штрафа в размере от 1000 до 2000 руб.

предупреждение или штраф — от 4000 до 10 000 руб. предупреждение или штраф — от 25 000 до 45 000 руб. предупреждение или штраф — от 10 000 до 20 000 руб.

Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования от 700 до 2000 руб. от 4000 до 10 000 руб. от 25 000 до 50 000 руб. от 10 000 до 20 000 руб. Невыполнение оператором (гос.

или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн предупреждение или наложение административного штрафа — от 3000 до 6000 руб. Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:

  1. Что делать владельцу сайта, чтобы избежать штрафов?
  2. Как уведомить Роскомнадзор об обработке персональных данных?
  3. Распространяется ли на меня закон о персональных данных?
  4. Являюсь ли я оператором персональных данных?

Давайте разбираться со всеми вопросами по порядку.

В дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  1. фотография
  2. ФИО (вместе и даже по отдельности)
  3. дата рождения
  4. телефон
  5. email
  6. ссылка на персональный сайт
  7. ссылка на профиль в социальных сетях
  8. адрес

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др. Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы.

В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы.

Так, например, для физлиц они заметно ниже, чем для юрлиц. Каждая категория операторов так или иначе сталкивается с обработкой ПДн.

Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение

«Даю согласие на обработку своих персональных данных»

и окошко для галочки. Шаг 2. Сопроводите предложение

«Даю согласие на обработку своих персональных данных»

гиперссылкой на документ, в котором прописываются условия обработки ПДн.

Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется . Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  1. перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  2. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  3. ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  4. перечень ПДн, на обработку которых субъект дает согласие;
  5. подпись субъекта ПДн.
  6. срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  7. наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  8. цель обработки ПДн;

Обратите внимание!

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес. Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе.

Посмотрите, тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «» Шаг 5. Подайте об обработке ПДн в Роскомнадзор.

Вообще, в соответствии с ч. 1 ст.

22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. При обработке ПДн, если они:

  1. обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
  2. включают только ФИО субъектов ПДн;
  3. являются общедоступными ПДн;
  4. получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  5. относятся к субъектам, которых связывают с оператором трудовые отношения;
  6. нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В соответствии с обеспечение конфиденциальности персональных данных не требуется:

  1. в отношении общедоступных персональных данных;
  2. если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.
  3. для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  4. если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  5. если данные включают только фамилии, имена и отчества субъектов персональных данных;
  6. в случае обезличивания персональных данных;

Согласно согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных: 1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; 2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2021 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн.

Ответственность за ресурс будет возложена на Роскомнадзор. Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152 Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в !

Более детальная информация об обработке персональных данных — в материалах наших экспертов: Загрузить ещё

10 Ошибок, которые не стоит допускать при оформлении документов, связанных с персональными данными

Вы здесь Опубликовано 2013-10-24 15:00 пользователем hrconsul «Кадровая служба и управление персоналом предприятия», 2012, N 3 10 ОШИБОК, КОТОРЫЕ НЕ СТОИТ ДОПУСКАТЬ ПРИ ОФОРМЛЕНИИ ДОКУМЕНТОВ, СВЯЗАННЫХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ По опросу знакомых и клиентов-работодателей, никто особо не «напрягается» из-за новых требований Закона о персональных данных . Действительно, «поймать» организацию за нарушение правил работы с персональными данными проверяющий может практически на любом аспекте, однако ответственность довольно невысока.

Да и когда, в самом деле, Роскомнадзор обратит внимание на среднестатистическую компанию?

Ведь в плане проверок, размещенном на сайте ведомства, обычно числятся крупные организации. Вместе с тем суммы штрафов расти будут, и безобидные на первый взгляд нарушения могут закончиться для работодателя весьма плачевно.

——————————— Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных). Штрафы вырастут в цене Практика показывает, что после недавнего ужесточения норм Закона о защите персональных данных проверяющие особенно активизировались, нещадно штрафуя нарушителей.

Как отмечает Роскомнадзор в отчете за 2010 г. (. rsoc. ru/docs/Otchet_2010.pdf), суды привлекли к административной ответственности в виде штрафа операторов персональных данных (все работодатели ими являются) на общую сумму 4480 тыс.

Рекомендуем прочесть:  На сто влияет рост чистых активов

руб. Для сравнения: в 2009 г. общая сумма наложенных штрафов составила в 60 раз меньше — всего 75 тыс.

руб.! В 2011 г. тенденция по увеличению суммы наложенных штрафов сохранилась, хотя статистика еще недоступна.

Это говорит о том, что операторы персональных данных допускают многочисленные нарушения. И пусть максимальная сумма штрафа пока мало кого пугает. Напомним, что для организаций по ст.

13.11 КоАП РФ сейчас она составляет от 5000 до 10 000 руб., должностного лица — от 500 до 1000 руб., гражданина — 300 — 500 руб., но планы по значительному повышению штрафов за нарушение порядка обработки персональных данных, видимо, скоро претворят в жизнь. Разговоры об ужесточении ответственности начались в прошлом году, сразу после упомянутых поправок, а недавно в прессе появилась информация, что Правительство РФ подготовило законопроект, увеличивающий наказание за разглашение персональных данных в разы. Работодатель-нарушитель может быть оштрафован от 200 тыс.

до 500 тыс. руб., предприниматель без образования юридического лица — от 50 тыс. до 100 тыс. руб., должностное лицо — от 15 тыс.

до 50 тыс., а гражданин — от 10 тыс. до 15 тыс. руб. Если же нарушение происходит не в первый раз, то повторное наказание будет еще жестче.

Организация может лишиться от 500 тыс. до 1 млн руб., предприниматель — от 100 тыс. до 300 тыс., должностное лицо — от 50 тыс.

до 100 тыс. руб., а гражданин — от 15 тыс.

до 30 тыс. руб. Причем деятельность юридического лица или предпринимателя может быть приостановлена на срок до 90 суток.

Эксперты отмечают, что если законопроект будет принят, то штрафы «обрушатся» на головы работодателей как снег на голову. А учитывая довольно непроработанные требования Закона, привлекать к административной ответственности операторов персональных данных можно будет поголовно, что, кстати, проверяющие из Роскомнадзора России делают и будут делать.

Ошибки работодателей Сотрудники контролирующего ведомства уделяют большое внимание документам, которые закрепляют политику в отношении персональных данных работников, вопросы их обработки и защиты.

С одной стороны, в нормативных актах установлены определенные требования к оформлению и содержанию этих документов, с другой, эти требования «размыты» по многочисленным нормативным актам, поэтому работодателям бывает довольно сложно в них сориентироваться.

Большинство замечаний сотрудников Роскомнадзора относится к тому, что необходимые документы, касающиеся персональных данных на предприятиях, часто носят формальный характер, повторяя содержание статей ТК РФ и Закона о персональных данных. В разъяснениях контролеры выделяют типичные ошибки, которые допускают работодатели при оформлении кадровых документов, регламентирующих обработку и защиту персональных данных. Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников.

А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов. ——————————— Официальный сайт Роскомнадзора России www. rsoc. ru. 1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных.

Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных. Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись.
Поэтому формальной отсылкой к ТК РФ или Закону о персональных данных явно не обойтись.

Пример указания конкретной нормы Закона приведем в согласии соискателя на получение работодателем персональных данных от третьих лиц (см. пример 1). Пример 1. Согласие на получение персональных данных от третьих лиц. ЗАО «Мир увлечений», расположенное по адресу: г.

Москва, ул. Академика Королева, д. 9 Загоушинского Александра Вениаминовича, зарегистрированного по адресу: г.

Москва, Долгоруковская улица, д.

16, кв. 21 паспорт серии 45 09 N 654321, выдан п/с N 2 ОВД Тверского района УВД ЦАО г. Москвы 29.04.2004 Заявление Я, Загоушинский Александр Вениаминович, в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц.

9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» даю согласие на получение моих персональных данных о предыдущих местах работы, периодах трудовой деятельности, деловых качествах от третьих лиц. Настоящее согласие действует в течение месяца (со дня его подписания по 30.03.2012) и в любой момент может быть отозвано в письменной форме.

01.03.2012 Загоушинский А. В. Загоушинский 2. Под целью обработки персональных данных работодатели ошибочно указывают саму обработку персональных данных или действия, совершаемые с персональными данными (сбор, хранение, использование и другие). Однако целью это никак назвать нельзя.

Здесь следует перечислить, для чего вы собираете и обрабатываете указанную информацию. Так, работодателю нужно указать, скажем, следующее:

«Обработка персональных данных осуществляется для реализации трудовых взаимоотношений с работниками»

.

Возможно, придется указать и другие основания, перечисленные в учредительных документах — уставе, учредительном договоре, положении:

«для осуществления видов деятельности, перечисленных в уставе, а именно: .»

.

Ну и, безусловно, не стоит забывать о фактически осуществляемой оператором деятельности. Указать цель обработки персональных данных потребуется в согласии работника на обработку и передачу персональных данных третьим лицом (см. пример 2). Пример 2. Согласие на передачу и обработку персональных данных третьим лицом.

ЗАО «Мир увлечений», расположенное по адресу: г. Москва, ул. Академика Королева, д.

9 Загоушинского Александра Вениаминовича, зарегистрированного по адресу: г.

Москва, Долгоруковская улица, д.

16, кв. 21 паспорт серии 45 09 N 654321, выдан п/с N 2 ОВД Тверского района УВД ЦАО г.

Москвы 29.04.2004 Заявление Даю свое согласие на передачу следующих моих персональных данных: 1) фамилия, имя, отчество; 2) пол; 3) год рождения; 4) данные об изображении лица; в целях исполнения заключенного между нами трудового договора в частное охранное предприятие «Железная защита» (г. Москва, ул. Александра Солженицына, д. 30) для любой их обработки в рамках договора об оказании охранных услуг от 14.02.2012 N 16.

Настоящее согласие действует с 05.03.2012 в течение всего срока действия трудового договора. В случае неправомерного использования предоставленных данных, а также по иным причинам согласие может быть отозвано в письменном виде.

05.03.2012 Загоушинский А. В. Загоушинский Обратите внимание: помимо данных работника в согласии должны быть указаны наименование и адрес работодателя, цель передачи персональных данных, перечень информации, на передачу которой работник дает согласие, и срок, в течение которого оно действует, а также порядок его отзыва. 3. Категории персональных данных указываются не полностью, часто вместо закрытого перечня работодатели пишут фразы «и др.», «и т.

п.», «другая информация». Делать это ни в коем случае нельзя. Необходимо перечислять все обрабатываемые категории персональных данных. Перечень должен быть полным, поэтому, написав в положении о защите персональных данных работника, что к персональным данным относятся «анкетные данные», вы совершите ошибку.

Перечислить стандартные категории (Ф. И. О., дату и место рождения, адрес, образование и пр.) компании обычно не забывают.

Хотя некоторые данные, например паспортные или данные из свидетельства о рождении, ИНН, данные СНИЛС, сведения о воинском учете, номер телефона, банковские реквизиты работника, работодатели порой не указывают, считая, что «они нужны по закону» и перечислять их нет необходимости. А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица!

А что говорить об особенных данных, скажем, росте, весе, группе крови или данных об изображении лица! Надо отметить, что не стоит в кадровых документах перечислять обобщенные категории персональных данных (биометрические или специальные персональные данные), надо их подробно перечислить.

Также следует иметь в виду, что под «категориями персональных данных» понимается «информация, относящаяся к физическому лицу» (ст.

3 Закона о персональных данных), поэтому документы, принадлежащие ему, не могут являться категориями персональных данных. Так что вместо «фотография» следует написать «данные об изображении лица», а вместо «паспорт» — «паспортные данные». Пример перечисления конкретных персональных данных можно посмотреть в согласии соискателя на получение работодателем персональных данных от третьих лиц (см.

пример 1) и согласии на обработку и передачу персональных данных третьим лицом (см.

пример 2). Добавим, что, несмотря на наличие, например, письменного соглашения о получении работодателем персональных данных о работнике от третьих лиц, в Положении о защите персональных данных работника следует указать на возможность и необходимость запроса подобной информации у третьих лиц. Так, в Положении можно сделать следующую пометку: «Работодатель имеет право проверять достоверность сведений, предоставленных работником.

Так, в Положении можно сделать следующую пометку: «Работодатель имеет право проверять достоверность сведений, предоставленных работником. При необходимости затребования персональных данных работника у третьих лиц работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме».

4. Указываются не все категории субъектов, чьи персональные данные обрабатываются. По аналогии с категориями персональных данных пишутся фразы типа «и т. д.», «и пр.». Здесь следует четко уяснить, что «категории субъектов» — это определенные группы граждан, у которых обрабатываются одинаковые персональные данные.

Скажем, личные дела всех сотрудников содержат одинаковый перечень данных и документов, поэтому у работников обрабатывается равное количество персональных данных, и если вы обрабатываете только данные своих работников, то будет достаточно указать лишь их.

Вместе с тем проверяющие отмечают, что при перечислении категорий физических лиц следует указывать и виды отношений с ними (в т.

ч. трудовые, гражданско-правовые).

Иными словами, если в вашей организации к отдельным работам привлекаются физические лица по гражданско-правовым договорам, то их тоже придется указывать. Так, нужно будет перечислить и тех и других. Например, в Положении о защите персональных данных сотрудников можно сделать следующую пометку:

«Настоящее Положение определяет порядок обработки персональных данных лиц, состоящих в трудовых, договорных и иных гражданско-правовых отношениях с ООО «

Энигма» (далее по тексту — Общество)».

5. Перечисляются лишь общие характеристики используемых оператором способов обработки персональных данных, а также порядок передачи информации. Отметим, что общий перечень действий содержится в п. 3 ст. 3 Закона о персональных данных, однако работодателю следует выбрать лишь те из них, которые он фактически совершает, например сбор, систематизацию, хранение, уточнение, использование и передачу.

Кроме того, должны быть перечислены конкретные способы обработки с указанием порядка передачи. Скажем, информация передается по внутренней сети юридического лица и по сети Интернет.

Здесь нелишним будет упомянуть два Постановления Правительства — от 15.09.2008 N 687

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

(далее — Постановление N 687) и от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В документах вы найдете много волнующих вопросов, например, о том, что относится к обработке в информационных системах. В частности, полезно будет знать, что информация, хранящаяся на компьютере, но для использования распечатываемая на бумаге, относится к данным, осуществляемым без использования автоматизации (п. 1 Положения, утвержденного Постановлением N 687).

При составлении Положения о защите персональных данных работников и других локальных документов вы можете использовать отдельные формулировки из названных Постановлений.

6. Не указываются конкретные меры, которые работодатель обязуется осуществлять при обработке персональных данных и для обеспечения их безопасности.

К перечислению способов защиты информации проверяющие относятся очень серьезно и требуют указывать конкретные технические и организационные меры.

Чтобы не запутаться, поясним: технические меры направлены на устранение самой возможности утечки информации и ее несанкционированного использования. Например, защита от несанкционированного физического доступа в помещения, где хранится информационная база, защита паролями и картами доступа компьютеров, где установлены и хранятся персональные данные, использование системы паролей в сети Интернет.

В свою очередь, организационные меры направлены на то, чтобы все заинтересованные лица и проверяющие органы были в курсе, как именно и в каких целях происходят защита и обработка персональных данных.

Поэтому к организационным мерам относится принятие локальных нормативных актов и иных организационно-распорядительных документов организации (внутренних документов — приказов, положений, регламентов, перечней, сведений). Средства обеспечения безопасности более конкретны.

Это могут быть оборудование помещений охранной системой, наличие видеонаблюдения на этаже и в кабинете, пропускная система и карты доступа.

Проверяющие акцентируют внимание на том, что работодатель должен указать лицо, ответственное за общую организацию защиты персональных данных, например начальника отдела кадров.

Для этого необходимо издать приказ (см. пример 3). Пример 3. Образец приказа о назначении ответственного лица за организацию защиты персональных данных.

Закрытое акционерное общество «Мир увлечений» (ЗАО «Мир увлечений») ПРИКАЗ 05.03.2012 N 17/к г. Москва О назначении ответственного лица за организацию защиты персональных данных В соответствии с п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» ПРИКАЗЫВАЮ: 1.

Назначить начальника отдела кадров Авдотьеву И.

С. ответственной за организацию защиты персональных данных работников. 2. В связи с новым назначением начальнику отдела кадров Авдотьевой И. С. внести соответствующие изменения в должностную инструкцию начальника отдела кадров, а также Положение о защите персональных данных работников до 12 марта 2012 г.

3. Установить ежемесячную доплату Авдотьевой И. С. в размере 5000 руб. к должностному окладу в связи с исполнением дополнительной обязанности по организации защиты персональных данных работников. 4. Начальнику канцелярии Перевертовой К.

С. довести настоящий приказ до сведения главного бухгалтера Свободомыслова А. Н.; начальника отдела кадров Авдотьевой И.

С. под личную подпись. Генеральный директор Улиновский Н. Э. Улиновский 05.03.2012 С приказом ознакомлены: Авдотьева И.

С. Авдотьева ———- 05.03.2012 Свободомыслов А.

Н. Свободомыслов ———- Обязанности ответственного сотрудника можно прописать, например, в Положении о защите персональных данных (см. Пример 4). Пример 4. Выдержка из Положения о защите персональных данных работников. 4. Начальник отдела кадров: — осуществляет общий контроль за соблюдением работниками мер по защите персональных данных; — обеспечивает ознакомление сотрудников под личную подпись с локальными нормативными актами, содержащими нормы о защите персональных данных, в частности с настоящим Положением о защите персональных данных; — истребует с работников письменное обязательство о соблюдении конфиденциальности персональных данных.

7. Не указываются меры ответственности за нарушение норм, регулирующих получение, обработку и защиту персональных данных работников в локальных документах. Начнем с того, что в трудовом договоре должен быть пункт, устанавливающий ответственность работника за разглашение персональных данных (п.

8 ст. 86 ТК РФ). Если же мы говорим о лицах, ответственных за работу с персональными данными, то они должны быть предупреждены под личную подпись об ответственности за нарушение порядка обработки и защиты персональных данных.

Это можно сделать либо в должностной инструкции, либо в Положении о защите персональных данных (см.

пример 5). Пример 5. Выдержка из Положения о защите персональных данных работников. 6.1. Разглашение персональных данных работника Общества, то есть передача посторонним лицам, не имеющим к ним доступа; публичное раскрытие; утрата документов и иных носителей, содержащих персональные данные работника; иные нарушения обязанностей по их защите, обработке и хранению, установленных настоящим Положением, а также иными локальными нормативными актами Общества, лицом, ответственным за получение, обработку и защиту персональных данных работника, влекут наложение на него дисциплинарного взыскания — выговора, увольнения. 6.2. В случае причинения ущерба Обществу работник, имеющий доступ к персональным данным сотрудников и совершивший указанный дисциплинарный поступок, несет полную материальную ответственность в соответствии с п.

7 ч. 1 ст. 243 Трудового кодекса РФ. 6.3. Работник Общества, имеющий доступ к персональным данным сотрудников и незаконно использовавший или разгласивший указанную информацию без согласия сотрудников из корыстной или иной личной заинтересованности и тем самым причинивший крупный ущерб, несет уголовную ответственность на основании ст. 188 Уголовного кодекса РФ. 8.

Отсутствие в договорах на обработку персональных данных третьим лицом положения об обеспечении конфиденциальности и безопасности персональных данных при их обработке. К третьим лицам здесь могут относиться: страховые, консалтинговые, охранные, аутсорсинговые компании, кредитные учреждения (банки), рекламные агентства и пр.

Некоторые работодатели заключают отдельное соглашение о неразглашении персональной информации.

Для примера дадим формулировку пункта в Положении о защите персональных данных (см.

пример 6). Пример 6. Выдержка из Положения о защите персональных данных работников.

4.2. Если Работодателю оказывают услуги юридические и/или физические лица на основании заключенных гражданско-правовых договоров и в силу этих договоров они должны иметь доступ к персональным данным сотрудников Работодателя, то соответствующие данные предоставляются только после подписания с ними соглашения об их неразглашении. 9. Даты начала совершения действий с персональньми данными и прекращения обработки не указываются или указываются размыто.

Как отмечают проверяющие из Роскомнадзора, писать следует фактические даты и конкретные основания. Каким образом? Если мы говорим об обработке данных только работников, то, как правило, за дату начала обработки берут дату регистрации юридического лица или дату, которая указана в свидетельстве о государственной регистрации юридического лица, а также дату заключения трудового договора.

За дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных, как правило, берут «ликвидацию юридического лица» (см. примеры 1 и 2). В качестве варианта предложенной в примере 2 формулировки можно указать:

«Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме»

. 10. Отсутствует список лиц, имеющих доступ к персональньм данным, обрабатываемым в информационной системе.

Такой список следует утвердить приказом руководителя компании (см. пример 7). Сделать это необходимо еще и потому, чтобы понять, каким образом будут осуществляться доступ и передача персональных данных.

Ведь очень важно, чтобы во время передачи рассматриваемой информации не произошла ее утечка или неправомерное использование. Порядок следует предусмотреть в Положении о защите персональных данных.

Например, можно предложить следующую формулировку: «Отдел кадров вправе передавать персональные данные сотрудников в бухгалтерию, службу безопасности и иные структурные подразделения только в случае необходимости исполнения работниками соответствующих подразделений трудовых обязанностей. Любая передача персональных данных между структурными подразделениями возможна только между сотрудниками, имеющими доступ к персональным данным.

При передаче персональных данных начальник отдела кадров предупреждает лиц, получающих доступ к персональным данным, о том, что эти данные могут быть использованы только в тех целях, для которых они сообщены. Начальник отдела кадров обязан взять письменное обязательство о неразглашении и предупреждении об ответственности с лиц, получающих доступ к персональным данным».

Кроме того, некоторые работодатели прописывают в Положении пункт о том, кто имеет право доступа ко всем персональным данным, например генеральный директор, учредители или совет директоров.

Пример 7. Образец приказа об утверждении списка лиц, имеющих доступ к персональным данным работников.

Закрытое акционерное общество «Мир увлечений» (ЗАО «Мир увлечений») ПРИКАЗ 05.03.2012 N 18/к г.

Москва Об установлении списка лиц, имеющих доступ к персональным данным работников В соответствии со ст. 88 Трудового кодекса РФ и п. 3.2 Положения о защите персональных данных работников ЗАО «Мир увлечений» ПРИКАЗЫВАЮ: 1.

Установить следующий перечень сотрудников Общества, имеющих доступ к персональным данным работников: — генеральный директор Улиновский Н.

Э.; — заместитель генерального директора Прушенинников К. С.; — начальник отдела кадров Авдотьева И.

С.; — главный бухгалтер Свободомыслов А. Н.; — начальник службы экономической безопасности Прутьев П. Е.; — начальник отдела продаж Федоскин Н.

З. 2. Возложить контроль за исполнением приказа на начальника отдела кадров Авдотьеву И. С. Генеральный директор Улиновский Н. Э. Улиновский С приказом ознакомлены: заместитель генерального 05.03.2012 директора Прушенинников К.

С. Прушенинников ———- 05.03.2012 начальник отдела кадров Авдотьева И.

С. Авдотьева ———- 05.03.2012 главный бухгалтер Свободомыслов А. Н. Свободомыслов ———- начальник службы экономической 05.03.2012 безопасности Прутьев П.

Е. Прутьев ———- 05.03.2012 начальник отдела продаж Федоскин Н. З. Федоскин ———- Как правило, доступ к персональным данным имеют сотрудники работодателя, которым необходима эта информация в связи с исполнением ими трудовых обязанностей. В Положении о персональных данных работников можно предусмотреть порядок действий в случае, если лицо в списке не поименовано, но срочно требуется доступ к данным.

Сформулировать пункт об этом можно следующим образом: «Доступ к персональным данным может быть предоставлен иному сотруднику Работодателя, должность которого не поименована в списке лиц, имеющих доступ к персональным данным работника, если этого требует производственная необходимость и выполняемая им трудовая функция. Для этого сотруднику следует составить докладную записку на имя генерального директора с визой непосредственного руководителя». Это наиболее типичные ошибки работодателей, хотя Роскомнадзор России отмечает и иные.

Например, отсутствие на предприятии листа ознакомления сотрудников под личную подпись с Положением о защите персональных данных работника, а также документа, подтверждающего факт информирования лиц о том, что они осуществляют обработку персональных данных без использования средств информатизации. Подобный документ должен содержать категории персональных данных, а также особенности и правила осуществления обработки.

Как видите, к оформлению перечисленных документов стоит подойти со всей серьезностью.

И самое главное — соблюдать их требования, поскольку любое нарушение может привести к жалобе недовольного работника в Роскомнадзор. И тогда, несмотря на то что компания маленькая, проверяющие нагрянут в нее с внеплановой проверкой.

С. Ларина Независимый юрист, эксперт журнала «Кадровая служба и управление персоналом предприятия» Подписано в печать 15.02.2012 Рубрика: Ключевые слова: Оцените публикацию +1 0 -1

Оформляем образец обязательства о неразглашении персональных данных работников

15 Мая 2021 в 11:31 Обработка персональных данных подразумевает участие двух сторон: субъекта и оператора. Первый является носителем данных, второй выполняет с полученной информацией различные манипуляции (сбор, хранение, систематизацию, обновление, накопление и пр.). В статье поговорим о значении обязательства о неразглашении данных.

Связанные статьи Оглавление Если вы обнаружили в тексте ошибку, сообщите нам об этом, выделив ее и нажав Ctrl+Enter На уровне документов взаимоотношения субъекта и оператора выглядят так: субъект дает согласие на обработку персональных данных, а оператор принимает на себя обязательство о неразглашении. Данная схема распространяется и на трудовые отношения, в которых субъектом выступает работник, а оператором — работодатель.

Документ предназначен для того, чтобы работодатель мог обозначить ответственность и при выявлении нарушений привлечь к ней работников, которые имеют доступ к личным сведениям коллег. Количество людей, в чьи обязанности входит обработка и неразглашение , может различаться.

Если в малых организациях все ограничивается лишь главным бухгалтером, то в средних и крупных компаниях сотрудники, работающие с личной информацией, числятся в структурных подразделениях:

  1. отдел продаж или отдел обслуживания (если речь идет об информации о клиентах).
  2. бухгалтерия;
  3. отдел персонала;
  4. отдел информационных технологий;

Список может быть расширен в зависимости от специфики и структуры организации. Таким образом, в пакет типовых кадровых документов работодателя должна входить форма обязательства о неразглашении персональных данных. Оптимальный срок для подписания этого документа ответственными лицами — в момент приема на работу.

Статья о неразглашении персональных данных третьим лицам содержится в .

Однако просто существование закона «О защите персональных данных» еще не дает права работодателю по умолчанию накладывать ответственность на сотрудников, имеющих доступ к личным сведениям. Необходимость оформления обязательства о неразглашении информации продиктована .

В соответствии с ,

«лица, осуществляющие обработку … данных … должны быть проинформированы о факте обработки ими персональных данных, … а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами…»

.

Кроме того, обязательной к исполнению мерой по защите личной информации является назначение приказом лиц, ответственных за обработку (ч. 1 ст. 22.1 ). Кроме обязательства о неразглашении, работодатель, в соответствии со , может заключать с профильным персоналом соглашение о неразглашении персональных данных работников, образец которого отличается от простого обязательства тем, что в нем указаны обе стороны процесса — как работодатель, так и сотрудник. Необходимость такого соглашения обусловлена требованиями, изложенными в пункте 7 , — на администрацию возложена обязанность по защите личных данных сотрудников от незаконного использования, утраты или доступа к ним третьих лиц.

Следовательно, сотрудники, которые имеют доступ к банку данных других работников, обязаны хранить эти сведения в секрете. А поскольку эта информация известна в связи с выполнением ими трудовых обязанностей, то работодатель, в соответствии со , имеет право заключить с такими работниками соглашение о неразглашении. При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с их работой и они обязались не разглашать такие сведения ().

Именно поэтому работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к личным данным других работников, соответствующий юридически значимый документ.

Ст. 24 гласит, что нарушение правил обращения с личной информацией влечет за собой ответственность, установленную законодательством Российской Федерации.

Характер ответственности конкретизируется несколькими статьями КоАП РФ. Например, в за обработку личных данных, несовместимую с целями сбора, зафиксировано наказание в виде штрафов от 1000 до 3000 рублей — для граждан, от 5000 до 10 000 рублей — для должностных лиц и от 30 000 до 50 000 рублей — для юридических лиц. А за разглашение персональных данных, в соответствии со , налагаются штрафы на виновных граждан в размере от 500 до 1000 рублей, на должностных лиц — от 4000 до 5000 рублей.

Автор: Подпишитесь на новости Клуба кадровиков Раз в неделю мы будем отправлять самые важные статьи вам на электронную почту.

Вы в любой момент сможете отказаться от наших писем, если потеряете к ним интерес.

Подписываясь на рассылку, вы соглашаетесь с и и даете согласие на использование файлов cookie и передачу своих персональных данных сайту clubtk.ru * Подписаться Хранение копий документов в личных делах сотрудников — это элемент системы кадрового документооборота, регламентированный законодательно. За нарушение правил обращения с документами предусмотрен штраф до 50 000 рублей.

Избежать наказания удастся, если компания обоснует необходимость наличия бумаг и получит согласие работников на обработку персональных данных. 06 Июня 2021 в 13:58 Хранение личных дел сотрудников в отделе кадров — это систематизация и обработка персональных данных всех работников предприятия. Является обязательным для государственных служб и подлежит выполнению в соответствии с законодательством РФ.

30 Мая 2021 в 17:25 Ведение личных дел работников — это оформление и хранение документов для систематизации данных о трудовой деятельности.

Документирование информации на государственных служащих регламентируется федеральными законами и предусматривает обязательное выполнение. 13 Декабря 2021 в 12:36 Отзыв разрешения на обработку персональных данных – бумага, которая позволяет запретить организациям собирать, хранить, передавать и иным образом использовать личную информацию гражданина.

Отзыв не имеет унифицированной формы, передается лично или по почте, и на него обязательно должна быть реакция оператора, обрабатывающего ваши личные данные. 27 Ноября 2021 в 07:57 Проверка на судимость — это процедура, которая обусловлена не только желанием работодателя проконтролировать сотрудника на наличие проблем с законом.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+