Каковы цели обработки персональных данных в организации?

Главная — Организация бизнеса — Кадры — Цели обработки персональных данных в организации


Каковы цели обработки персональных данных в организации?Российским законодательством достаточно четко регламентируются вопросы установления целей обработки персональных данных в организации. При этом на работодателей и сотрудников предприятия возлагаются определенные обязанности, напрямую связанные с вопросами обработки личной информации других трудящихся или третьих лиц, несоблюдение которых может привести к негативным последствиям для субъекта хозяйствования, вплоть до привлечения виновных к дисциплинарной, гражданской, административной и уголовной ответственности.

Цель обработки персональных данных в организации — правовое регулирование

С точки зрения российского законодательства, с целью соблюдения требований Конституции РФ, а также международных нормативно-правовых актов, в которых участвует Российская Федерация, личная информация граждан и иностранцев, должна быть защищена от незаконных операций с ней. В вопросах трудовых взаимоотношений ключевое значение для определения действующих юридических нормативов, затрагивающих любые виды операций с личными сведениями, имеют следующие положения нормативно-правовых документов и актов:

  • ФЗ №152 от 27.07.2006. Данным законом регламентируются основные общие принципы обращения с информацией, составляющей личные сведения о любом человеке, в том числе и в вопросах осуществления трудовых взаимоотношений, но не ограничиваясь ими.
  • Ст.81 регламентирует принципы увольнения сотрудников по инициативе работодателя, в том числе и за грубые дисциплинарные нарушения, к которым можно отнести разглашение персональных данных трудящимся.
  • Ст.86 обеспечивает регулирование общих принципов обеспечения защиты личной информации работников.
  • Ст.87 посвящена нормативам использования и хранения рассматриваемых данных в рамках трудовых взаимоотношений.
  • Ст.88 устанавливает принципы, по которым может осуществляться передача личной информации при ведении трудовой деятельности.
  • Ст.89 посвящена основным правам трудящихся касательно сведений, относимых к персональным.
  • Ст.90 регламентирует ответственность за нарушение установленного законом порядка работы с личными данными.

Кроме вышеозначенных нормативно-правовых актов для сотрудников некоторых государственных служб и ведомств могут иметь значение и законодательные нормативы, регламентирующие деятельность таковых служб.

Общие цели обработки персональных данных сотрудников в организации

Вне зависимости от конкретных принципов, которые могут быть установлены в компании, каждый работодатель в обязательном порядке преследует общие для трудовых взаимоотношений цели при обработке персональных данных в организации. К таковым общим целям можно отнести:

  1. Каковы цели обработки персональных данных в организации?Документальное оформление трудовых взаимоотношений в соответствии с требованиями законодательства. При заключении трудового договора, работодатель получает доступ и проводит обработку персональных данных соискателя в любом случае. Поэтому таковая цель обработки личной информации является одной из основных.
  2. Ведение кадрового делопроизводства и учета на предприятии. Каждый работодатель обеспечивает хранение трудовых книжек работников, их личных карточек или же личных дел и внесение изменений в означенные документы.
  3. Налогообложение и уплата страховых сборов. В Российской Федерации именно на работодателей возлагается обязанность по уплате налогов за своих трудящихся и страховых сборов в систему пенсионного и социального страхования.
  4. Выполнение иных действий, связанных с исполнением требований законодательства в отношении учета, сбора и передачи информации, которая может включать в себя и личные сведения трудящихся.
  5. Исполнение требований уполномоченных органов, например, правоохранителей, когда они требуют доступ к личной информации сотрудника.

Во всех вышеозначенных ситуациях обработке подлежат общедоступные данные работника, которые непосредственно необходимы для решения соответствующих вопросов.

При этом истребовать согласие сотрудника на обработку означенных данных нет необходимости — само желание его заключить трудовой договор свидетельствует о подобном согласии.

В отношении биометрических и иных личных сведений согласие работника не требуется только при обращении уполномоченных органов.

Соискатель или сотрудник вправе отказаться от обработки персональных данных и в вышеозначенном формате, однако таковой отказ является однозначным основанием для невозможности заключения с ним трудового договора или продолжения действующих взаимоотношений. Если данные затребуются правоохранительными органами, то отказ работника от их обработки в этом контексте не имеет юридической силы — сотрудники органов правопорядка и иные уполномоченные лица вправе истребовать их даже при отказе самого трудящегося.

Другие возможные цели обработки персональных данных трудящегося

Каковы цели обработки персональных данных в организации?Личные сведения могут собираться работодателями не только в целях исполнения прямых требований российского законодательства, но и для решения других задач. В частности, работодатель может самостоятельно регламентировать порядок и принципы обработки информации о трудящихся. Он обязан лишь ознакомить потенциальных сотрудников с таковым порядком. Например, личные данные могут собираться и использоваться для оформления служебных удостоверений. Также в рамках учета рабочего времени может использоваться сбор сведений о сотрудниках и их затратах рабочего времени в рамках хронометража или использования автоматизированных систем учета.

Помимо этого, работодатель также может затребовать от работников доступ к их биометрическим данным. Например — также для обеспечения работы систем пропуска. Или же — для изготовления рабочей униформы или средств индивидуальной защиты.

Во всех вышеозначенных ситуациях работодатель обязан прежде, чем проводить обработку сведений трудящегося, получить согласие на такие действия.

При этом если соискатель отказывается от дачи такового, работодатель вправе не заключать с ним трудовой договор.

Однако, все сведения, обрабатываемые и собираемые работодателем, должны использоваться исключительно в соответствии с установленными локальными нормативными актами и только в объемах, необходимых для решения поставленных задач.

(19

Источник: https://delatdelo.com/organizaciya-biznesa/tseli-obrabotki-personalnyh-dannyh-v-organizatsii.html

Определение целей обработки персональных данных и способов работы с ними

Каковы цели обработки персональных данных в организации?

Закон 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Он начал действовать с 23 января 2007 года. До его вступления в силу такая информация не имела юридической защиты.

В нем определено понятие того, что относится к данной категории ведомостей. Как сформулировано в статье 3 закона 152-ФЗ, персональные сведения включают в себя всё, что имеет отношение к конкретному человеку. Причём сюда входят те, которые имеют к нему прямое отношение и те, которые имеют только косвенное.

Нормативный акт регламентирует деятельность юридических и физических лиц, которые занимаются сбором сведений о различных людях.

В частности, получить всё это в большинстве случаев возможно, только если получено согласие человека, о котором идет речь.

Однако, предусмотрены отдельные случаи, когда информация может быть получена без такого согласия. Они перечислены в статье 6 закона № 152-ФЗ.

Одно из положений устанавливает требование, согласно которому все персональные сведения о гражданах Российской Федерации должны находиться на серверах, расположенных на территории страны. Не разрешается пополнять свою информацию на основе той, которая взята с сайтов, расположенных вне российских границ.

В ситуации, когда человек считает какие-либо сообщения о нём не соответствующими действительности, он может обратиться к оператору (в соответствии со статьёй 14 закона 152-ФЗ) с просьбой удалить или соответствующим образом откорректировать их.

В случае отказа такой человек имеет право обратиться в суд.

Согласие на обработку персональных данных

Такой документ должен содержать следующие разделы:

  1. В документе указывается, кто выражает согласие, указываются паспортные данные.
  2. Даётся наименование оператора, которому даётся разрешение.
  3. Пишут, для каких целей обработки даётся согласие.
  4. Конкретно перечисляется список данных, на обработку которых даётся разрешение.
  5. Перечисляются все операции с ними, о которых идёт речь.
  6. Период времени действия разрешения.
  7. Ставится подпись, ее расшифровка и дата.

Составленное разрешение согласно образцу, даёт разрешение только на то, что в нем конкретно указано.

Цели обработки

Использование рассматриваемых сведений необходимо для:

  1. Ведения документов в отделе кадров.
  2. Заключения договоров и выполнения других юридических действий.
  3. В связи с выполнением требований налогового законодательства.
  4. Других целей аналогичного рода.

При этом надо заметить, что:

  • в каждом таком случае получение информации определяется нормативными актами;
  • оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.

Примеры целевого использования личных сведений

В различных сферах экономики и общественной жизни персональные данные граждан жизненно важны.

Каковы цели обработки персональных данных в организации?В медицинском учреждении важно знать подробности о здоровье человека в течение всей его жизни. При этом обладателем персональных сведений является пациент. Оператор, который их использует — поликлиника или другое медучреждение. Она обязана получить разрешение Роскомнадзора для обработки. Если поликлиника передаёт данные, например, в специализированную больницу, она должна получить письменное согласие гражданина.

Для банка жизненно важно при предоставлении кредита обоснованно предположить, будет ли способен кандидат вернуть одолженные деньги или у нет подходящих финансовых ресурсов.

Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие. Владельцем информации является клиент. Банк — это оператор, который проводит обработку. Клиент имеет право отозвать разрешение на пользование сведениями о нём.

Цели работы с информацией — обеспечение выполнения требований банковского законодательства РФ.

Без предоставления этой или подобной информации обойтись нельзя. Но при этом важно, чтобы её использование не нарушало требований действующих нормативов.

Правила и принципы работы с информацией

Закон №152-ФЗ формулирует основные принципы, на которых необходимо основываться, работая с персональными ведомостями граждан:

  1. Делаться это должно на основе справедливости и законности. В частности, это означает, что каждый раз, когда кто-либо собирает или обрабатывает рассматриваемые материалы. У него должно быть законное основание для таких действие, а также согласие того, к кому эта информация относится.
  2. Есть ограничение, которое относится к целям обработки. То есть подробности о человеке могут собираться только с конкретными, заранее определёнными целями. Когда происходит обработка, то для других направлений деятельности эти данные использовать запрещено.
  3. Каждый способ работы с личными материалами подразумевает, что они должны быть строго определённого вида и их объем должен соответствовать заявленным целям и не быть избыточным. Это означает, что у человека нельзя запрашивать ведомостей о нем больше, чем необходимо для конкретного случая.
  4. Важным принципом является требование о том, чтобы сведения соответствовали определённым критериям. Они должны быть точны и полны, не могут быть устаревшими, полученными незаконно или такими, которые не соответствуют заявленным целям. Если получена информация, которая указанным характеристикам не соответствует, оператор обязан её уничтожить.
  5. Для такой работы установлены строгие временные рамки. Ведомости могут собираться, храниться и обрабатываться только до того момента, когда заявленная для этого цель выполнена. После этого может быть сделано одно из двух действий: она может быть сделана обезличенной или должна быть уничтоженной.
Читайте также:  Как узаконить мансарду в многоквартирном доме?

В каждой организации в той или иной форме происходит работа с персональными данными работников. Однако она должна происходить только в рамках, которые определены российским законодательством.

Для того, чтобы сотрудникам был понятен порядок такой работы, обычно, принимается локальный нормативный акт, который подробно описывает процедуры такой работы и требования, которые к ней предъявляются.

Обычно такой документ носит название «Положение об обработке персональных данных на предприятии». Стандартно, такой документ включает в себя следующие разделы:

  1. Объяснение, с какой целью составлен и принят такой документ.
  2. Перечень нормативных актов, на которых основано его действие.
  3. Точные формулировки юридических понятий, которые используются далее.
  4. Конкретные правила обработки таких материалов. Сначала перечисляются цели использования (обычно, они ограничиваются различными кадровыми вопросами).
  5. Порядок получения информации у самого субъекта, его законного представителя, третьих лиц. При этом должно быть получено согласие сотрудника.
  6. Требование об ограничении видов и глубины получения данных рамками конкретных ситуаций. При этом даётся список таких ситуаций.
  7. Запрет на получение избыточных подробностей о сотрудниках (обычно в этом случае речь идёт о национальности, религиозной принадлежности и т.п.).
  8. Отмечается также, что на основании полностью автоматизированных процедур не будут приниматься такие решения, у которых будут юридические последствия для субъекта.
  9. Обеспечение неразглашения имеющейся информации.
  10. Указывается, что получение персональных данных может быть сделано только в случае получения письменного согласия гражданина на это.
  11. Образец такого разрешительного документа.
  12. Регламент для всех процедур на предприятии, которые связаны с проведением обработки персональных сведений.

Этот документ устанавливает порядок работ в указанной сфере на конкретном предприятии.

Понятие об обезличенных персональных данных и правила работы с ними

Считается, что ведомости, которые были собраны и нужда в которых отпала, должны быть уничтожены или обезличены. Как поступать с ними — для государственных учреждений рассмотрено в Методических рекомендациях к Приказу Роскомнадзора №996:

Читайте так же:   Дача ложных показаний по статье УК РФ

  1. Каковы цели обработки персональных данных в организации?Установка абстрактных идентификаторов вместо имён и фамилий и других объектов, позволяющих точно определить субъекта такой информации.
  2. Изменение состава ранее собранного для работы.
  3. Применение хранения по частям. При этом каждая часть не даёт возможность установить владельца.
  4. Использование перемешивания информации по специальному алгоритму. При этом по итоговым таблицам невозможно установить первоначально собранные материалы.

Можно понять, что случайному лицу непосредственно из обезличенной информации нельзя получить исходные тексты. Однако сама эта организация восстановить его впоследствии сможет.

Нарушения, связанные с нецелевым использованием персональных данных

Начиная с 1 июля 2017 года в КоАП внесены изменения в статью 13.11, которые определяют ответственность за нарушение закона №152-ФЗ. При нарушении установленных правил закон предусматривает соответствующие наказания.

Если собирается информация в тех случаях, когда для этого нет законного основания или производится обработка с незаконными целями, налагается штраф. Для физических лиц сумма составит от 1 до 3 тысяч руб., должностные лица заплатят от 5 до 10 тысяч руб., предприятия — от 30 до 50 тысяч руб.

Если имело место разглашение информации, штраф начисляется в связи с каждым отдельным таким случаем. Он может составлять от 500 до 1000 руб. с сотрудника, по чьей вине произошло нарушение. Если речь идёт об организации, которая несёт ответственность за происшедшее, то сумма возрастает. Теперь она может составить от 5 до 10 тысяч руб.

В рассматриваемом нормативном акте указано, что соблюдение положений закона 152-ФЗ должен контролировать Роскомнадзор. До начала обработки по статье 22 Закона о защите персональных данных он должен отослать туда уведомление.

В частности, он проводит соответствующие проверки и, если выявляются нарушения, выдаёт предписание о недостатках, которые требуется устранить.

Если распоряжение не выполнено, на виновного налагается штраф, который может составлять 20 тысяч руб.

О том, как правильно организовать работу с чужими данными, расскажет автор следующего ролика.

Рекомендуем другие статьи по теме

Источник: https://ZnayBiz.ru/kadry/rezhim/trudovaya-disciplina/celi-obrabotki-personalnyh-dannyh.html

Какова цель обработки персональных данных?

Каковы цели обработки персональных данных в организации?

Предоставляя сведения о себе, человек должен быть уверен, что личная информация не будет передана третьим лицам без его согласия. Российское Законодательство предупреждает такие ситуации и защищает права и свободы граждан.

Конституция РФ и Федеральный Закон «О персональных данных» № 152 от 27.01.2006 г. регулируют работу с личными сведениями о гражданине, признавая его права на неприкосновенность частной жизни, на личную и семейную тайны.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92. Это быстро и бесплатно!

Скрыть содержание

Что это такое?

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.
  • Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.
  • Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.
  • Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152.
  • Данные клиента могут использованы для:
  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152. Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Примеры

Банковская сфера

Банк «Финансовый». Цель обработки персональных данных клиента – осуществление банковских и других операций, в том числе:

  1. Открытие и ведение банковских счетов.
  2. Перевод денежных средств по банковским счетам.
  3. Перевод денежных средств от лиц – физических и юридических без открытия банковского счёта.
  4. Купля-продажа иностранной валюты.
  5. Оказание услуг консультирования и информирования, в том числе посредством адреса электронной почты.
Читайте также:  Доверенность на право подписи документов и представления интересов

Медицинская организация

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд.

Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен.

Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас: 

+7 (499) 938-47-92 (Москва)

+7 (812) 467-38-62 (Санкт-Петербург) 

Это быстро и бесплатно!

Источник: https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/tsel.html

Цели обработки персональных данных

Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д.

Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует Федеральный закон № 152 от 27.01.2006 «О персональных данных» во исполнение конституционного принципа защиты частной жизни (ст. 23 Конституции РФ, ст. 2 закона № 152).

Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152).

Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных.

Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152).

Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:

  1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.   
  2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
  3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
  4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь — Правобот!

Интеллектуальный сервис для подбора судебной практики. Думает, как юрист, только быстрее. 

Каковы цели обработки персональных данных в организации?

Познакомиться поближе

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:

  • быть исчерпывающим и конкретным;
  • соответствовать положениям устава, а также локальных актов организации;
  • соответствовать тому, какие цели компания преследует фактически.

Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:

  • открытие счета,
  • ведение счета,
  • операции по перечислению средств со счета и на счет,
  • консультирование клиента.

Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:

  • при работе с резюме соискателей;
  • для выполнения обязанностей компании в рамках трудового соглашения;
  • для соблюдения трудового, налогового и пенсионного законодательства;
  • для организации обучения сотрудников, повышения их профессионального уровня;
  • при расчете и начислении зарплаты;
  • для контроля качества работы сотрудников;
  • при предоставлении различных гарантий и льгот и т. д.

Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено.

Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе.

Источник: https://www.law.ru/article/22246-tseli-obrabotki-personalnyh-dannyh

Организация работы с персональными данными

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N Документ Сведения
1 Анкета, автобиография, личный 
листок по учету кадров 
(заполняется при приеме на 
работу)
Анкетные и биографические данные 
работника
2 Копия документа, 
удостоверяющего личность 
работника
Ф.И.О., дата рождения, адрес 
регистрации, семейное положение, 
состав семьи
3 Личная карточка (форма N Т-2, 
утверждена Постановлением 
Госкомстата России 
от 05.01.2004 N 1)
Ф.И.О. работника, место его рождения,
состав семьи, образование, а также 
данные документа, удостоверяющего 
личность
4 Трудовая книжка Сведения о трудовом стаже, предыдущих
местах работы
5 Копии свидетельств о заключении
брака, рождении детей
Состав семьи, изменения в семейном 
положении
6 Документы воинского учета Информация об отношении работника к 
воинской обязанности, необходимая 
работодателю для осуществления 
воинского учета работников
7 Справка о доходах с предыдущего
места работы
Ф.И.О., данные о сумме дохода и 
удержанного НДФЛ
8 Документы об образовании Подтверждают квалификацию работника, 
обосновывают занятие определенной 
должности
9 Документы обязательного 
пенсионного страхования
Ф.И.О., личные данные
10 Трудовой договор Сведения о должности работника, 
заработной плате, месте работы, 
рабочем месте, а также иные 
персональные данные работника
11 Приказы по личному составу Информация о приеме, переводе, 
увольнении и иных событиях, 
относящихся к трудовой деятельности 
работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

Читайте также:  Образец жалобы в росздравнадзор и способы ее подачи
N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на 
основании каких документов составляется 
Положение. 
В организациях, где работают государственные 
гражданские служащие, дается ссылка на: 
— Федеральный закон от 27.07.2004 N 79-ФЗ 
«О государственной гражданской службе Российской
Федерации»; 
— Указ Президента РФ от 30.05.2005 N 609 «Об 
утверждении Положения о персональных данных 
государственного гражданского служащего 
Российской Федерации и ведении его личного 
дела»; 
— нормативные акты субъекта РФ
2 Основные понятия. 
Состав персональных 
данных работников
Основные понятия. Даются определения понятий 
«персональные данные», «обработка персональных 
данных», «использование персональных данных», 
указывается срок хранения документов и т.д. 
Отдельно должно быть указано, что относится к 
персональным данным в конкретной компании с 
учетом ее особенностей (данные, используемые в 
работе, например сведения о работе на режимных 
объектах, об оформлении допуска к 
государственной тайне, о соответствии здоровья 
для профессий, связанных с тяжелыми и вредными 
условиями, и т.д.)
Перечень документов организации, которые 
содержат персональные данные
3 Получение 
персональных данных 
работников
Процедура получения персональных данных. 
Указывается, что данные получают и обрабатывают 
на основании письменного согласия работника. 
Указываются случаи, когда согласие не нужно
4 Использование 
персональных данных
Цели использования личной информации сотрудников
5 Обработка 
персональных данных
Условия, соблюдаемые при обработке персональных 
данных работника
6 Передача 
персональных данных 
(доступ к 
персональным данным)
Порядок передачи персональных данных внутри 
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за 
нарушение норм, 
регулирующих 
обработку и защиту 
персональных данных
Указывают тех, кто несет ответственность за 
нарушение правил хранения и использования 
персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Каковы цели обработки персональных данных в организации?

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться.

Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами


п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка 
ООО «Черный лес»

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Политика обработки персональных данных: как составить документ

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.

2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.

Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.  

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.

В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.

В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу. 

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Источник: https://kontur.ru/articles/4871

Ссылка на основную публикацию
Adblock
detector