Организация работы с персональными данными

Содержание
  1. Организация защиты данных, организация работ и системы защиты информации
  2. Организация защиты персональных данных
  3. Система и мероприятия по организации защиты данных
  4. Положение о защите персональных данных
  5. Назначение ответственных за организацию защиты данных
  6. Работа с персональными данными: к чему придирается Роскомнадзор
  7. Плановая проверка
  8. Внеплановая проверка
  9. Документарная проверка
  10. Текущий контроль
  11. Нарушения, которые может выявить Роскомнадзор
  12. Правила работы с персональными данными сотрудников
  13. Что признается персональными данными
  14. Цели обработки и защиты персональных данных работников
  15. Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
  16. Разберемся с терминами
  17. Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
  18. Чем грозит невыполнение требований по обработке персональных данных
  19. Выводы
  20. Основные нормативные документы, касающиеся обработки персональных данных
  21. Персональные данные сотрудника: как с ними работать
  22. Что включают персональные данные работника
  23. Что делать с персональными данными кандидата
  24. Что делать, если персональные данные собираются с помощью анкеты
  25. Что делать с данными кандидата, которого не взяли на работу
  26. Направление запросов на прежние места работы
  27. Сбор и обработка персональных данных при приеме на работу
  28. Оформление зарплатной карты и персональные данные работника
  29. Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:
  30. Сотрудник сменил фамилию — что делать с трудовым договором?
  31. Размещение «черных списков» сотрудников на сайте
  32. Оформление доски почета
  33. Персональные данные для пропуска
  34. Кадровый и бухгалтерский учет на аутсорсе и персональные данные
  35. Что делать с персональными данными уволенных сотрудников

Организация защиты данных, организация работ и системы защиты информации

Организация работы с персональными данными

Группа компаний «Интегрус» организует защиту данных в части алгоритмов сбора, обработки, хранения информации.

Наши специалисты повысят уровень безопасности, предупредят несанкционированное проникновение в электронные базы данных, снизят репутационные риски, помогут избежать штрафных санкций, административной, дисциплинарной, имущественной ответственности, предусмотренной Федеральным законом №152-ФЗ «О персональных данных».

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

  • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
  • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
  • соответствии паролей международным стандартам;
  • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

Организация защиты конфиденциальных данных включает работу с персоналом. Это обусловлено тем, что в 80% случаев именно работники становятся инициаторами проникновения вредоносных программ в систему. Такое происходит без злого умысла со стороны сотрудника. Проникают вирусы следующим образом:

  • с обновлениями ПО;
  • через письма, приходящие на электронную почту;
  • при переходе по ссылкам;
  • через съемные носители информации.

Организация работ по защите персональных данных основывается, в том числе и на работе с персоналом. Составляются инструкции и политики обязательные для ознакомления, проводятся занятия в режиме реального времени.

Мы поможем создать и наладить работу организации по защите персональных данных в организации. Это повысит безопасность, эффективность противодействий попыткам несанкционированного проникновения в системы для кражи информации. Квалифицированные сотрудники подразделения следят за выполнением политики конфиденциальности, предупреждают несанкционированные проникновения в систему третьих лиц.

Организация защиты информационной системы персональных данных требует комплексного подхода, основывается на работе над аппаратной, программной составляющей и обучении персонала. Только так возможно создать эффективное противодействие виртуальным угрозам, обезопасить информацию от утечки.

Система и мероприятия по организации защиты данных

Наша задача – обеспечить сохранность данных, исключить потерю доступа к ним ответственных лиц, предотвратить проникновение третьих лиц. Мероприятия по защите персональных данных в организации включают организацию:

  • автоматического тайм-аута пользовательского терминала. Если он не используется, для повторного открытия требуется идентификация и пароль;
  • автоматического отключения идентификатора пользователя при вводе нескольких ошибочных паролей, файл журнала событий (мониторинг попыток взлома);
  • системы защиты данных в организации требуют разработки политики персонала. В ней определяются права каждого сотрудника на доступ к персональным данным;
  • информирования персонала об обязанностях и последствиях за любые их нарушения. Обеспечение сотрудникам доступа к персональным данным и ресурсам в рамках выполнения служебных обязанностей;
  • контроля доступа для использования определенных областей систем обработки данных.

План мероприятий по защите персональных данных в организации составляется на основе анализа имеющихся ресурсов и целей, которые ставит перед нашими специалистами заказчик. Затем он согласуется с клиентом, начинается реализация. Завершающая стадия – проверка эффективности, работоспособности внедренных алгоритмов, установленного оборудования.

Системы защиты информации в организации это не только виртуальная, но и физическая защита. Это означает необходимость ограничения доступа в помещения, где размещается серверное оборудование (установка сигнализации, СКУД, оборудование постов охраны). Если организация использует облачные технологии, поможем найти надежного провайдера.

Положение о защите персональных данных

Согласно 152-ФЗ работодатель обязан обеспечить защиту персональных данных сотрудников. В противном случае Роскомнадзор вправе наложить на предприятие, ответственных за работу с информацией лиц штрафные санкции.

Это штраф, запрет занимать определенные должности или лишение свободы.

Положение о защите персональных данных работников организации снизит риск наложения штрафов на предприятия, компании, должностных лиц, ответственных за сбор, обработку информации.

Важно!

Запрещается получать и работать с данными, которые не относятся к трудовой деятельности. Персональные данные – это любая информация о сотруднике (ФИО, место жительства, информация о родственниках). Законодательство требует от работодателей иметь и использовать положение о сборе и работе с подобного рода данными.

Разработка положения об обработке и защите персональных данных в организации включает следующие этапы:

  • определение, какие данные используются;
  • способы сбора;
  • методы обработки;
  • правила хранения.

Наши специалисты разработают положение в соответствии с поставленными задачами, оформят в соответствии с действующими нормами.

Назначение ответственных за организацию защиты данных

Согласно 152-ФЗ, компания, что осуществляет работу с персональными данными, должна иметь ответственное за это лицо. Квалификационных требований к такому сотруднику законодательство не содержит, поэтому владелец компании, предприятия или уполномоченное им лицо выбирает кандидатуру самостоятельно.

Зачастую приказ о назначении ответственных за организацию защиты персональных данных составляется на специалиста, который работает с кадровой документацией или клиентской базой. Сотрудник, согласно законодательству, подчиняется напрямую руководителю предприятия, организации.

Независимо от того, кто отвечает за защиту персональных данных в организации, это должен быть подготовленный человек. Подразумевается как теоретическая, так и практическая подготовка. Наши специалисты проведут обучение, выбранного работодателем сотрудника (или нескольких) для организации работы с персональными данными в рамках законодательства, утвержденных внутренних положений.

Организация обработки и защиты персональных данных нашей компанией – это оперативная, профессиональная работа. Клиенту гарантируется результат, эффективное решение поставленных задач.

Источник: https://integrus.ru/blog/it-decisions/organizatsiya-obrabotki-zashhity-dannyh-na-predpriyatii.html

Работа с персональными данными: к чему придирается Роскомнадзор

Организация работы с персональными данными

Практически каждой организации приходится работать с персональными данными как своих сотрудников, так и клиентов. При этом важно соблюдать правила, регламентируемые Федеральным законом №152-ФЗ «О персональных данных».

За соблюдением этого закона следит Роскомнадзор. Он контролирует, чтобы данные использовались с согласия владельца и никуда не просочились.

О том, как соответствовать требованиям 152-ФЗ, рассказывает Анна Веденеева, генеральный директор «Бухгалтерского бюро Анны Веденеевой».

Для начала стоит разобраться какие данные считаются персональными.

Персональные данные — это любая информация, с помощью которой можно идентифицировать человека, как конкретное физическое лицо.

К ним относят такие сведения, как: паспортные данные, Фамилия Имя Отчество, номер телефона, ИНН, СНИЛС, образование, профессия, имущество и доход, cookie в браузере, семейное положение, фото, ссылка на профиль в социальной сети.

Если в адресе электронной почты фигурирует личная информация — Фамилия Имя Отчество или дата рождения (ivanov1979@mail.du), то она тоже относится к личным данным. То есть для того, чтобы идентифицировать человека важны скорее не сами данные, а их совокупность.

Плановая проверка

Специалисты Роскомнадзора составляют график плановых проверок еще до начала года и публикуют его на своем официальном сайте. Каждая организация может заблаговременно узнать о проверке. А также за три дня по почте придет уведомление, в котором будет указано на какую дату она назначена.

Плановые проверки проводятся раз в три года, для отдельных категорий — раз в два года.

Внеплановая проверка

Они не включены в график, проводятся по жалобам граждан, которые считают, что их права нарушили. Люди обычно жалуются на SMS-спам, назойливые звонки и прочее. Также проверку могут организовать по требованию прокурора.

О внеплановой вы будете извещены лишь за 24 часа до ее начала.

Количество внеплановых проверок неограниченно, одной жалобы достаточно, чтобы инспекторы выехали к вам.

Документарная проверка

В этом случае Роскомнадзор запрашивает копии необходимых документов или какие-либо пояснения по определенной ситуации. Запрос происходит письменно — вы получаете соответствующее письмо. И ответит на него надо в течение пяти дней.

Такие проверки проводятся исключительно по плану.

Текущий контроль

В этом случает проверка проходит без участия организации или ИП. Специалисты проверяют информацию о компании. Для того они изучают сайт, а также другие сведения, находящиеся в открытом доступе.

О такой проверке можно узнать, только в том случае, если специалисты найдут нарушения. В этом случае вы получите требование об устранении недостатков. Его надо выполнить, иначе вас оштрафуют.

Вас может заинтересовать наш материал«Как начать бизнес правильно»

Нарушения, которые может выявить Роскомнадзор

  • Не уведомили территориальный орган Роскомнадзора об обработке персональных данных.

Если вы собираете личные сведения на сотрудников, в рамках трудовых отношений, уведомлять никого не нужно.

При работе с персональными данными клиентов, необходимо отправить уведомление в Роскомнадзор. А также уведомлять нужно, если вы собираетесь обрабатывать данные уволенных сотрудников или кандидатов на вакансии. Для этого используйте специальную форму на сайте ведомства. Уведомление также следует отправить и в бумажном виде.

  • Не разработали политику обработки персональных данных.

Ее нужно не только сгенерировать, но и предоставить в публичном доступе — на сайте организации, в офисе или мобильном приложении.

  • Отсутствует согласие на обработку персональных данных.

Согласие граждан необходимо получать в обязательном порядке. Это базовый документ, в котором прописано, какие данные и с какими целями вы планируете собрать.

Если собираете данные через интернет, то понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму сбора данных, на которой человек ставит галочку, тем самым соглашаясь на обработку персональных данных.

  • Не позаботились о системе технической защиты персональных данных.

Серверы с базами данных необходимо размещать в защищенном месте, чтобы к ним имели доступ только те, кто имеет на это право. Необходимо установить антивирусные программы.

Издайте приказ, который утвердит порядок хранения персональных данных и утвердите перечень работников, которые будут иметь к ним доступ. Назначьте ответственного за обработку личной информации.

Персональные данные на бумаге храните в сейфе или в архиве.

Если компания не защитит данные, и кто-то получит к ним доступ, то ее оштрафуют. А если в результате утечки данных пострадает человек, то компания должна будет компенсировать ущерб.

  • Отсутствуют внутренние документы с правилами обработки и защиты персональных данных в вашей компании.
  • В личных делах сотрудников лишние документы.

К примеру, документы сотрудник должен предъявить лишь при оформлении трудовых отношений. Поэтому после завершения процедуры хранить их копии в отделе кадров не нужно.

Если в компании приняты все меры, документы поддерживаются в актуальном состоянии, уведомление подано, то контролирующему органу не к чему будет придраться.

Если вам понравилась наша статья, то, пожалуйста, поставьте лайк и подпишитесь нанаш канал.

Статья была подготовлена для вас порталом Sovcom.pro

Источник: https://zen.yandex.ru/media/sovcom_pro/rabota-s-personalnymi-dannymi-k-chemu-pridiraetsia-roskomnadzor-5ee892dfc2a70a25b386e730

Правила работы с персональными данными сотрудников

Организация работы с персональными данными

Что признается персональными данными? Какие персональные данные работников организация вправе обрабатывать, а какие – нет, в каких документах они могут содержаться? От кого организация вправе получать такие данные, кому и в каком порядке передавать? В чем сложность определения сроков хранения носителей информации, содержащих персональные данные? Какие сроки установлены для ответа на запросы граждан об их персональных данных? Каким образом организовать работу с данными работников и их защиту так, чтобы избежать привлечения к ответственности за несоблюдение требований законодательства? Опубликован образец обязательного для всех организаций внутреннего нормативного документа – Положения об обработке и защите персональных данных.

Выходя из дома, вы по привычке проверяете, взяли ли с собой паспорт. Задумайтесь, почему вы это делаете? Все просто: паспорт – это основной документ, содержащий персональные данные человека, по которым его можно идентифицировать.

Именно этот документ вам могут «предложить» предъявить сотрудники милиции, охранных ведомств и т.п. Или вспомните, как вы устраивались на работу и какие при этом документы представляли в кадровую службу.

А ведь запрашиваемые при приеме на работу документы, копии которых потом хранятся в кадровой службе, тоже содержат персональные данные.

Ни для кого не секрет, что сейчас «черный рынок» изобилует разными информационными базами данных, включающими и так называемые персональные данные.

И это несмотря на то, что законодательство серьезно ограничивает действия по сбору, учету, изменению, обновлению, хранению, уточнению персональных данных, устанавливая ответственность за нарушение законодательства при работе с персональными данными как для организаций, так и для отдельных должностных лиц. Но без таких данных не может обойтись ни одна компания. И, соответственно, без знаний о правилах работы с ними тоже.

После принятия нового Трудового кодекса Российской Федерации (далее – ТК РФ) и специального Федерального закона от 27.07.2006 г.

№ 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) каждая, подчеркиваем, каждая организация обязана иметь у себя специальный локальный (внутренний) нормативный акт – чаще всего его называют Положение о персональных данных, – который устанавливает порядок работы с ними.

Если у вас такого документа нет, то при проверке трудовой инспекции это будет квалифицировано как нарушение трудового законодательства. И этим перечень нарушений порядка работы с персональными данными не исчерпывается.

Так давайте посмотрим, что представляют собой «персональные данные», почему так важно знать правила работы с ними и каковы, собственно говоря, эти правила, которые так необходимо соблюдать. Авторы статьи предлагают свое видение данного вопроса, а также разработанный образец Положения об обработке и защите персональных данных, который вы сможете взять за основу.

Что признается персональными данными

Человек, постоянно находясь в отношениях с другими людьми, в каких-то ситуациях сам может определять, какие персональные данные и кому он может сообщать, а в других вынужден сообщать все затребованные данные (например, по требованию уполномоченных государственных органов).

Таким образом, с одной стороны, неприкосновенность частной жизни каждого человека охраняется законом, а с другой – его персональные данные требуются в ряде случаев как своеобразное средство его индивидуализации в обществе, которое необходимо для осуществления его прав и исполнения возложенных обязанностей.

Прежде чем говорить о том, как правильно обращаться с персональными данными, чтобы не нарушить ничьи права, не навлечь гнев проверяющих органов и в то же время защитить законные интересы своей компании, важно определить, что такое «персональные данные» и чем они отличаются от всех других сведений, с которыми приходится иметь дело практически каждый день. Для этого обратимся к закону, а вернее – сразу к двум законам:

  • статья 85 ТК РФ определяет персональные данные работника как информацию, которая необходима работодателю в связи с трудовыми отношениями и касается конкретного работника. Как видим, данная статья недостаточно четко определяет, что может быть отнесено к персональным данным. Зато с очевидностью можно сделать вывод, что персональные данные в ТК РФ упоминаются исключительно по отношению к работникам, т.е. физическим лицам, которые заключили трудовой договор с работодателем;
  • статья 3 Закона о персональных данных содержит более развернутое определение: персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, и Закон о персональных данных, и ТК РФ указывают, что персональные данные – это данные о конкретном физическом лице, которые позволяют его идентифицировать. Следовательно, персональными могут быть только данные о физических лицах, но не об организациях (юридических лицах). Если Закон о персональных данных регулирует отношения, связанные с персональными данными любого человека, то ТК РФ устанавливает особенности обращения с персональными данными тех людей, которые состоят в трудовых отношениях с конкретным работодателем.

На основе анализа положений указанных законов можно прийти к выводу, что по своей сути персональные данные – это такая информация, которая непосредственно связана с личностью и позволяет идентифицировать человека. Обратите внимание, что перечень информации о человеке, относящейся к персональным данным, не является исчерпывающим.

Среди многообразия случаев использования персональных данных в рамках организации можно выделить следующие основные:

  • данные о контрагентах по гражданско-правовым договорам – физических лицах (например, при заключении с ними договоров подряда, возмездного оказания услуг, авторских договоров). Соответственно, на данные о контрагентах, являющихся юридическими лицами, правила, касающиеся персональных данных, не распространяются;
  • данные о работниках;
  • данные о физических лицах – учредителях и участниках юридического лица.

Согласно перечисленным законам, а также Указу Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» персональные данные отнесены к категории сведений конфиденциального характера. Это значит, что существуют серьезные ограничения, связанные с обработкой таких данных.

Закон устанавливает требования при обработке (получение, хранение, комбинирование, передача или другое использование) работодателем персональных данных работника, а также необходимость защиты персональных данных, которая подкреплена возможностью применения мер ответственности1 как к самой организации, так и к отдельным должностным лицам, допустившим нарушение правил работы с такой конфиденциальной информацией.

Цели обработки и защиты персональных данных работников

В 2002 году вступил в силу новый ТК РФ, и организации столкнулись с необходимостью соблюдать требования главы 14 ТК РФ, носящей название «Защита персональных данных работника».

Необходимость обработки организацией персональных данных своих работников обусловлена сущностью трудовых отношений. Ведь персональные данные работников включают в себя как раз ту информацию, которая позволяет работодателю:

  • соблюдать требования законов и иных нормативных правовых актов;
  • содействовать в трудоустройстве работников, их обучении и продвижении по…

Источник: https://delo-press.ru/journals/documents/sovremennoe-deloproizvodstvo/34936-pravila-raboty-s-personalnymi-dannymi-sotrudnikov/

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Организация работы с персональными данными

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Персональные данные сотрудника: как с ними работать

Организация работы с персональными данными

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.

К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании.

Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. 

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Источник: https://kontur.ru/articles/5844

О бухгалтерии
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: