Timeplus-kazan.ru

Консультации адвоката
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Положение о порядке хранения и защиты персональных данных пользователей

Положение о персональных данных работников в 2019 году: образец

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Образец положения о персональных данных 2019

Далее приведем возможный текст положения о защите персональных данных в 2019 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

__________ А.С. Пушкин

9 июля 2019 года

ПОЛОЖЕНИЕ

О работе с персональными данными работников

9 июля 2019 года Москва

1. Общие положения

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

Читать еще:  Кто должен гасить кредит в случае смерти заемщика?

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Положение о защите персональных данных: образец

Из статьи вы узнаете:

Защита персональных данных работника – прямая обязанность работодателя. Порядок и правила работы с такими данными определяется внутренним документом – положением о персональных данных. В статье расскажем, как составить такой документ, и приведем образец положения о персональных данных работников, которое вы сможете использовать в своей работе.

Персональные данные: что это

В ходе трудоустройства и дальнейшего взаимодействия с работниками, работодатель получает немало информации, непосредственно связанной с личностью человека – его фамилию, имя и отчество, домашний адрес, дату рождения, сведения о детях и прочее. Такая информация, согласно п. 3 ч. 1 ст. 3 ФЗ № 152 от 27.07.2006, имеет статус персональных данных. Их нельзя передавать третьим лицам и распространять иными способами (за исключением отдельно установленных законодательством способов – например, если передать сведения необходимо для того, чтобы предотвратить причинение вреда жизни и/или здоровью человека).

На практике большинство компаний создают локальный нормативный акт – положение о персональных данных работников. Работать в соответствии с таким положением могут как небольшие ООО, так и крупные АО – при этом правила хранения и использования информации у них могут серьезно различаться.

Положение о персональных данных: структура документа

Документ разрабатывается в соответствии с правилами внутреннего документооборота, действующими в компании.

В общем случае он должен содержать следующие сведения:

  • наименование документа;
  • номер приказа, которым он введен в действие;
  • Ф.И.О. и должность лица, утвердившего положение (как правило, это делает директор или генеральный директор);
  • дата и место составления документа;
  • наименование предприятия, на котором действует положение;
  • цели и задачи предприятия, которых нужно достичь при работе с персональными данными;
  • перечень данных, которые относятся к персональным на конкретном предприятии;
  • описание действий, совершаемых с полученной от работника информацией в ходе работы;
  • способы доступа к данным;
  • способы хранения данных;
  • права и обязанности лиц, имеющих доступ к охраняемым сведениям;
  • ответственность работников за нарушение правил конфиденциальности.

Вам также будет интересно:

Иногда к положению прикрепляют приложения – ими устанавливают формы документов, применяемых в работе: например, образец согласия на обработку персональных данных. На нашем сайте вы можете скачать образец с приложениями и переработать его с учетом особенностей функционирования именно вашей организации.

Как разработать и ввести в действие положение?

В разработке документа должны принимать участие сотрудники кадровой и юридической служб, а также руководители отделов, деятельность которых подразумевает работу с персональными данными. Разработка приложения – отдельное направление работы над положением, которое стоит доверить юристам: они подготовят образцы документов, учитывая все особенности действующего законодательства.

Для утверждения готового документа издается приказ, который подписывается руководителем предприятия. Положение начинает действовать со дня подписания приказа, если последним не установлена другая дата вступления документа в силу.

Что нужно учесть при разработке документа?

При разработке положения необходимо опираться на следующие принципы, установленные ФЗ № 152:

Как ознакомить с положением сотрудников предприятия?

Ознакомиться с содержанием положения должны все сотрудники предприятия, деятельность которых так или иначе связана с обработкой персональных данных. Все вновь принимаемые сотрудники знакомятся с содержанием документа при приеме на работу – до подписания трудового договора или одновременно с его подписанием.

Факт ознакомления с содержанием документа подтверждается подписями сотрудников. Сбор подписей можно осуществлять разными способами:

  1. Прикрепить к положению лист ознакомления, в котором каждый работник будет писать Ф.И.О. и дату ознакомления, а также ставить свою подпись.
  2. Завести журнал ознакомления с локальными нормативными актами и включить туда раздел об ознакомлении с положением о персональных данных – ознакомленные работники будут вносить в него необходимые сведения.

Вам также будет интересно:

Чтобы упростить процедуру использования положения в работе предприятия, его можно перевести в электронный вид. Перевод документа в цифровой формат имеет определенные преимущества:

  1. Работники, деятельность которых регулируется нормами положения, смогут получить доступ к тексту документа в любое удобное для них время.
  2. Электронный документ проще актуализировать – достаточно внести изменения в цифровую копию, и все сотрудники смогут сразу же с ними ознакомиться.

Ответственность за нарушение правил работы с персональными данными

Если работодатель нарушает правила обработки персональных данных (не имеет вообще никакого документа, регулирующего порядок работы с такими данными, или, несмотря на наличие положения, нарушает установленные им правила), его могут привлечь к административной ответственности по ч. 1 ст. 13.11 КоАП РФ.

Норма предусматривает наложение на нарушителя административного штрафа в размере:

  • от 2 до 6 тыс. рублей – для граждан;
  • от 10 до 20 тыс. рублей – для должностных лиц;
  • от 60 до 100 тыс. рублей – для организаций.

Итак, положение о персональных данных работников организации – это локальный нормативный документ, который регулирует порядок сбора, обработки и хранения таких сведений о работниках предприятия, как Ф.И.О., домашний адрес, номер телефона, ИНН, СНИЛС и прочих данных. Создание положения – один из способов исполнения требований трудового законодательства, в соответствии с которыми именно работодатель должен организовать систему работы с персональными данными сотрудников предприятия. Все работники, деятельность которых связана с обработкой данных других сотрудников, должны быть ознакомлены с содержанием положения под роспись.

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

Существующее на текущий момент Положение о защите персональных данных (далее – Положение) работает со следующими понятиями:

  1. «Администрация сайта». Так называют представляющих интересы организации специалистов, в чьи обязанности входит управление сайтом, то есть организация и (или) обработка поступивших на него персональных данных. Для выполнения этих обязанностей они должны чётко представлять, для чего обрабатываются сведения, какие сведения должна быть обработаны, какие действия (операции) должны производиться с полученными сведениями.
  2. «Персональные данные» — сведения, имеющие прямое или косвенное отношение к определённому либо определяемому физическому лицу (также называемому субъектом персональных данных).
  3. «Обработка персональных данных» — любая операция (действие) либо совокупность таковых, которые Администрация производит с персональными данными. Их могут собирать, записывать, систематизировать, накапливать, хранить, уточнять (при необходимости обновлять или изменять), извлекать, использовать, передавать (распространять, предоставлять, открывать к ним доступ), обезличивать, блокировать, удалять и даже уничтожать. Данные операции (действия) могут выполняться как автоматически, так и вручную.
  4. «Конфиденциальность персональных данных» — обязательное требование, предъявляемое к Оператору или иному работающему с данными Пользователя должностному лицу, хранить полученные сведения в тайне, не посвящая в них посторонних, если предоставивший персональные данные Пользователь не изъявил своё согласие, а также отсутствует законное основание для разглашения.
  5. «Пользователь сайта» (далее — Пользователь)» – человек, посетивший сайт, а также пользующийся его программами и продуктами.
  6. «Cookies» — короткий фрагмент данных, пересылаемый веб-браузером или веб-клиентом веб-серверу в HTTP-запросе, всякий раз, когда Пользователь пытается открыть страницу сайта. Фрагмент хранится на компьютере Пользователя.
  7. «адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу.
Читать еще:  Должностная инструкция экономиста по планированию 2021 скачать образец

2. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Просмотр сайта, а также использование его программ и продуктов подразумевают автоматическое согласие с принятым там Положением, подразумевающей предоставление Пользователем персональных данных на обработку.
  2. Если Пользователь не принимает существующее Положение, Пользователь должен покинуть сайт.
  3. Имеющееся Положение распространяется только на сайт. Если по ссылкам, размещённым на сайте последнего, Пользователь зайдёт на ресурсы третьих лиц, сайт за его действия ответственности не несёт.
  4. Проверка достоверности персональных данных, которые решил сообщить принявший Положение Пользователь, не входит в обязанности Администрации сайта.

3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

  1. Согласно проводимой в текущий период Политике конфиденциальности Администрация сайта обязана не разглашать персональные данные, сообщаемые Пользователями, регистрирующимися на сайте или оформляющими заказ на покупку товара, а также обеспечивать этим данным абсолютную конфиденциальность. Чтобы сообщить персональные данные, Пользователь заполняет расположенные на сайте электронные формы. Персональными данными Пользователя, которые подлежат обработке, являются запрашиваемые по электронной формой данные, и данные внесенные в произвольные поля по желанию пользователя.
  2. Защита данных, автоматически передаваемых при посещении страниц с установленными на них статистическими скриптами системы (пикселями) осуществляется сайтом. Вот перечень этих данных:
    • -адрес;
    • сведения о браузере (либо другой программе, через которую становится доступен показ рекламы);
    • время посещения сайта;
    • адрес страницы, на которой располагается рекламный блок;
    • реферер (адрес предыдущей страницы).
  3. Последствием отключения может стать невозможность доступа к требующим авторизации частям сайта.
  4. Сайт собирает статистику об адресах всех посетителей. Данные сведения нужны, чтобы выявить и решить технические проблемы и проконтролировать, насколько законным будет проведение финансовых платежей.
  5. Любые другие неоговорённые выше персональные сведения (о том, когда и какие покупки были сделаны, какой при этом использовался браузер, какая была установлена операционная система и пр.) надёжно хранятся и не распространяются. Исключение существующая Политика конфиденциальности предусматривает для случаев, описанных в п.п. 5.2 и 5.3.

4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ

Сбор персональных данных Пользователя Администрацией сайта проводится ради того, чтобы:

  1. Установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования сайта, обработка пользовательских запросов и заявок, оказание прочих услуг.
  2. Определить местонахождение Пользователя, чтобы обеспечить безопасность и предотвратить мошенничество.
  3. Подтвердить, что данные, которые предоставил Пользователь, полны и достоверны.
  4. Своевременно информировать Пользователя об обновлённой продукции, ознакомлять его с уникальными предложениями, новыми прайсами, новостями о деятельности сайта или его партнёров и прочими сведениями, если Пользователь изъявит на то своё согласие.

5. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

  1. Срок обработки персональных данных Пользователя ничем не ограничен. Процедура обработки может проводиться любым предусмотренным законодательством способом. В частности, с помощью информационных систем персональных данных, которые могут вестись автоматически либо без средств автоматизации.
  2. Обработанные Администрацией сайта персональные данные Пользователя могут передаваться третьим лицам, в число которых входят курьерские службы, организации почтовой связи, операторы электросвязи.
  3. Также обработанные Администрацией сайта персональные данные могут передаваться уполномоченным органов государственной власти Российской Федерации, если это осуществляется на законных основаниях и в предусмотренном российским законодательством порядке.
  4. Если персональные данные будут утрачены или разглашены, Пользователь уведомляется об этом Администрацией сайта.
  5. Все действия Администрации сайта направлены на то, чтобы не допустить к персональным данным Пользователя третьих лиц (за исключением п.п. 5.2, 5.3). Последним эта информация не должна быть доступна даже случайно, дабы те не уничтожили её, не изменили и не блокировали, не копировали и не распространяли, а также не совершали прочие противозаконные действия. Для защиты пользовательских данных Администрация располагает комплексом организационных и технических мер.
  6. Если персональные данные будут утрачены либо разглашены, Администрация сайта совместно с Пользователем готова принять все возможные меры, дабы предотвратить убытки и прочие негативные последствия, вызванные данной ситуацией.

6. ОБЯЗАТЕЛЬСТВА СТОРОН

В обязанности Пользователя входит:

  1. Сообщение соответствующих требованиям сайта сведений о себе.
  2. Обновление и дополнение предоставляемых им сведений в случае изменения таковых.

В обязанности Администрации сайта входит:

  1. Применение полученных сведений исключительно в целях, обозначенных в п. 4 существующей Политики конфиденциальности.
  2. Обеспечение конфиденциальности поступивших от Пользователя сведений. Они не должны разглашаться, если Пользователь не даст на то письменное разрешение. Также Администрация не имеет права продавать, обменивать, публиковать либо разглашать прочими способами переданные Пользователем персональные данные, исключая п.п. 5.2 и 5.3 существующей Политики конфиденциальности.
  3. Принятие мер предосторожности, дабы персональные данные Пользователя оставались строго конфиденциальными, точно также, как остаются конфиденциальными такого рода сведения в современном деловом обороте.
  4. Блокировка персональных пользовательских данных с того момента, с которого Пользователь либо его законный представитель сделает соответствующий запрос. Право сделать запрос на блокировку также предоставляется органу, уполномоченному защищать права Пользователя, предоставившего Администрации сайта свои данные, на период проверки, в случае обнаружения недостоверности сообщённых персональных данных либо неправомерности действий.

Примерный перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных

Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Зачастую многие операторы персональных данных так или иначе сталкиваются с необходимостью подготовки пакета документов в сфере защиты персональных данных. Это может происходить в разных случаях. Некоторые операторы готовят документы при открытии или расширении собственного бизнеса. Кто-то – из-за надвигающейся проверки Роскомнадзора. В любом случае каждому оператору необходимо знать о существовании примерного перечня документов для надлежащей обработки персональных данных.

Читать еще:  Незавершенный объект строительства имеет 4 признака и 2 ограничения

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится, в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». Ранее он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных.

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

  • Документ о классификации информационных систем;
  • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.

В соответствии со ст.ст. 86-88 Трудового кодекса РФ от 30 декабря 2001 года № 197-ФЗ работодатель обязан иметь документ, устанавливающий порядок обработки персональных данных работников, с которым работники и их представители должны быть ознакомлены под роспись.

Действие Закона № 152-ФЗ распространят свое действие как на случаи обработки персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и, в большинстве случаев, без использования таких средств. Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства РФ от 15.09.2008 г. № 687 (далее – Положение № 687), урегулированы вопросы обработки персональных данных (использование, уточнение, распространение, уничтожение) без использования средств автоматизации.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные
Согласно п.15 Положения № 687, при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных установлены Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector