Место работы персональные данные

Содержание

Положение о работе с персональными данными сотрудников

Заполненный образец

«Альфа»
ИНН 7708123456, КПП 770801001, ОКПО 98756423

полное наименование организации, идентификационные коды (ИНН, КПП, ОКПО)

УТВЕРЖДАЮ
Директор
_________ А.В. Львов
01.02.2016

ПОЛОЖЕНИЕ
о работе с персональными данными работников

г. Москва 01.02.2016

1. Общие положения

1.1. Положение о работе с персональными данными работников «Альфы» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 1 февраля 2016 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:

  • пол;
  • дату рождения;
  • семейное положение;
  • отношение к воинской обязанности;
  • местожительство и домашний телефон;
  • образование, специальность;
  • предыдущее(ие) место(а) работы;
  • иные сведения, с которыми работник считает нужным ознакомить работодателя. В анкету вклеивается фотография работника.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Бухгалтер _________ В.Н. Зайцева
01.02.2016

Несколько слов о данных

Чтобы исполнить требования закона нужно организовать правильную процедуру получения, хранения и передачи персональных данных работников. Узнать персональную информацию можно только от самого сотрудника. Если персональные сведения по какой-либо причине нужно запросить у третьих лиц, то нужно получить согласие сотрудника в письменном виде. Получая согласие, нужно известить сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):

  • о целях получения информации;
  • источниках данных;
  • характере сведений;
  • способах получения;
  • последствиях отказа от дачи согласия на их получение.

Все это нужно прописать в Положении о работе с персональными данными работников (образец 2019 для ИП тот же, что и у предприятий). Получив в свое распоряжение персональные сведения работников, их нельзя распространять и раскрывать третьим лицам без согласия самого сотрудника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).

Правила хранения, обработки и использования сведений работодатель устанавливает самостоятельно. Принятый в компании порядок закрепляется в Положении о работе с персональными данными сотрудников 2019. С этим документом нужно знакомить сотрудников под подпись при приеме на работу (ч. 3 ст. 68 ТК РФ).

Компании, проигнорировавшие требование закона о составлении и утверждении этого документа могут быть оштрафованы (ст. 5.27 КоАП РФ, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06).

Теперь скажем несколько слов о содержании Положения о работе с персональными данными работников (doc – образец 2019 можно скачать в конце статьи):

  • наименование организации должно соответствовать названию в учредительных документах. Если у компании есть краткое наименование, его нужно указать в скобках (п. 5.5 ГОСТ Р 7.0.97-2016);
  • кроме названия должности лица, утверждающего документ и надписи «Утверждаю» должны быть в наличии: подпись, Ф.И.О. и дата утверждения (п. 5.16 ГОСТ Р 7.0.97-2016);
  • место составления документа должно быть указано по центру после строки «дата документа» (рисунок В.1 ГОСТ Р 7.0.97-2016);
  • сведения о целях и задачах составления документа, а также о нормативных актах, на основании которых он был составлен, указывают в разделе «Общие положения»;
  • порядок получения сведений о работниках и список документов и сведений, представляемых работником, указывается в разделе «Получение и обработка персональных данных работников». В этом же разделе устанавливается порядок и сроки предоставления сотрудником информации об изменении персональных данных;
  • способы и сроки хранения информации, включая меры защиты сведений указываются в разделе «Хранение персональных данных работников»;
  • цели использования полученных данных указываются в разделе «Использование персональных данных»;
  • возможность и правила предоставления персональных данных работников (например, по запросам государственных органов) прописывается в разделе «Передача персональных данных»;
  • гарантии сохранности данных работников и их права в случае неправомерного разглашения указываются в разделе «Гарантии конфиденциальности персональных данных».

Образец Положения о работе с персональными данными работников, актуальный на 2019 год.

Скачать документ можно бесплатно по прямой ссылке в формате Word — pologenie-o-zashite-personalnih-dannih

Источник

ООО «Кадровый метод» — это современное кадровое агентство по быстрому и эффективному поиску, подбору персонала. Мы окажем услуги по рекрутингу необходимого Вам персонала. Оказываем услуги по поиску топ персонала (топ менеджеров, директоров, управленцев высшего звена), персонала среднего звена, IT специалистов, менеджеров продаж, линейного персонала, бухгалтеров, врачей, стилистов, ….
Информацию для работодателей по услугам поиска и подбора персонала Вы можете найти на данной странице. На странице «Акции» Вы можете узнать о наших последних акциях и спецпредложениях для Заказчиков (работодателей).
Обращаем Ваше внимание, что Вы можете заполнить простую онлайн заявку на подбор персонала и мы свяжемся с Вами в самые сжатые сроки.
Для Вашего удобства мы создали раздел «Подбор персонала по профессиям» в котором мы разместили подробную информацию по основным позициям популярных вакансий для поиска и подбора по Заявкам от Заказчиков, но с привязкой к конкретному названию вакансии, к примеру «Секретарь», «Менеджер по продажам», «Товаровед», «Удаленный менеджер по продажам», «Менеджер по закупкам» «Топ персонал, руководители» и т.д.
Для соискателей созданы 3 полезных раздела, а именно «Как составить резюме», «Советы соискателю» и «Открытые вакансии». Подписка на рассылку наших новых вакансий на странице «Подписка на новые вакансии»

Является ли место работы персональными сведениями о сотруднике?

Ответ на вопрос:

Да, такая информация относится к персональным данным работника.

В соответствии со ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Предоставление персональных данных работника в рамках действующего законодательства РФ возможно:

1) самому работнику, в том числе без письменного запроса о предоставлении данных, поскольку согласие работника отражается проставлением подписи при получении документа;

2) третьим лицам при предъявлении письменного согласия работника;

3) третьим лицам, обладающим правом получения таких данных в силу закона без согласия работника.

Банки и организации – работодатели, куда работник планирует устроиться на работу, к органам, имеющим право на получение информации о работнике без его согласия, не относятся.

В соответствии с Федеральным законом «О защите персональных данных» обработка и передача персональных данных работников может осуществляться исключительно с согласия работника. Причем согласие должно быть информированным, выполненным в письменной форме. При возникновении спора о наличии такого согласия на передачу данных работника третьему лицу бремя доказывания наличия такого согласия возлагается на работодателя.

Согласие работника не требуется в отношении общедоступных персональных данных. Однако при возникновении спора о правомерности разглашения сведений, которые работодатель относит к общедоступным, работодателю придется доказывать, что данные о работнике являются общедоступными.

Обращаем Ваше внимание на недопустимость представления персональных данных работника по устному запросу, тем более полученному по телефону. В этом случае вы не можете достоверно установить лицо, запрашивающее такие сведения, а соответственно допускаете неконтролируемую утечку конфиденциальной информации.

Рекомендуем в своем локальном акте о работе с конфиденциальной информацией прямо запретить передачу персональных данных в устной форме по телефону. При поступлении звонка из банка или от потенциального работодателя целесообразно отвечать: «Извините, но передача конфиденциальной информации по телефону запрещена. Если Вас интересует какая-либо информация, то в соответствии с действующим законодательством и в пределах, установленных таким законом, мы готовы ее предоставить по Вашему письменному запросу.» При получении письменного запроса от третьих лиц, которые не имеют права на получение персональных данных работника без его согласия, необходимо с полученным запросом ознакомить работника и получить от него информированное письменное согласие на передачу данных по данному запросу.

Если такое согласие работник не дает, то можно в ответ на письменный запрос написать: » запрошенная Вами информация не может быть предоставлена в соответствии со ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 04.06.2014) «О персональных данных» в связи с отсутствие согласия работника на предоставление указанных сведений по запросу Вашей организации» (или можно указать: …. В связи с отказом работника дать согласие на предоставление запрошенной Вами информации).

Подробности в материалах Системы:

Ответ: Как организовать обработку персональных данных сотрудников.

Какие персональные данные сотрудника вправе получить организация

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника (например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п.). Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 части 1 статьи 86 Трудового кодекса РФ и статье 10 Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Какие персональные данные считаются общедоступными

Общедоступная информация – это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах 1, 2 статьи 7 Закона от 27 июля 2006 г. № 149-ФЗ.

Общедоступные персональные данные – данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Относится ли фотография к персональным данным

Под персональными данными понимается любая информация, которая прямо или косвенно относится к определенному физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Фотография представляет собой визуализированный способ подачи информации, именно по ней можно идентифицировать человека. Таким образом, фотографию можно отнести к персональным данным сотрудникам, а следовательно, на нее будут распространяться все общие правила работы с таким видом данных, в том числе необходимость получения согласия сотрудника на передачу, размещение и обработку его фотографии.

Более того, запрет на обнародование и дальнейшее использование изображения гражданина без его согласия прямо установлен в статье 152.1 Гражданского кодекса РФ. Исключение составляют случаи использования:

  • фотографий в государственных, общественных или иных публичных интересах;
  • оплаченных фотографий;
  • фотографий, которые сделаны в рамках публичных и массовых мероприятий.

Согласие сотрудника на обработку персональных данных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных осуществляется только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Такие требования установлены в части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Случаи обработки данных без согласия сотрудника

В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, – она может осуществляться без согласия сотрудника – субъекта персональных данных. Об этом сказано в статье 6 Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • налоговые органы (ст. 24 НК РФ);
  • ФФОМС, ФСС России (ст. 15 Закона от 24 июля 2009 г. № 212-ФЗ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 г. № 53-ФЗ);
  • иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

  • обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ, Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета. Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных. Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Ответственность за нарушения в работе с персональными данными

Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Закона от 27 июля 2006 г. № 152-ФЗ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (

Здесь предлагается Вашему вниманию документ-шаблон – образец 2018-2019 года Правил обработки персональных данных для тех, кто обращается в Вашу организацию, учреждение или предприятие: клиенты, граждане, получатели социальных услуг. Документ формата docx доступен бесплатно для скачивания по прямой ссылке, Вам нужно будет его внимательно изучить, скорректировать, подогнать под особенности деятельности Вашей организации и переименовать в соответствии с названием Вашего учреждения.

Мы рассматриваем пример оформления документации в организации социального обслуживания населения.

Образец 2018-2019 Приказа «О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», в котором утверждается данный документ, можно скачать здесь: Приказ о мерах выполнения обязанностей Федерального закона 152-ФЗ О персональных данных.

Полный перечень документов утверждаемых в Приказе «О мерах…», излагается на этой странице: .

Итак, продолжаем далее нашу тему.

Приложение 1
УТВЕРЖДЕНЫ
приказом директора
ГКУ СО «Наименование ЦСОН»
от 30.06.2018 г. № 38

Правила обработки персональных данных в ГКУ СО «Наименование ЦСОН»

1. Основные понятия

Правила обработки персональных данных (далее – Правила) в ГКУ СО «Наименование ЦСОН» (далее – Учреждение) для описания своих целей использует следующие основные понятия:

  • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных;
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
  • Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
  • Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
  • Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
  • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации;
  • Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
  • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

2.1. Цель разработки настоящих Правил – обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.2. Положения разработаны в соответствии со следующими нормативными правовыми документами Российской Федерации:

  • Конституция Российской Федерации;
  • Федеральный закон “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” от 19.12.2005 №160-ФЗ;
  • Федеральный закон “О персональных данных” от 27.07.2006 №152-ФЗ;
  • Федеральный закон “Об информации, информационных технологиях и о защите информации” от 27.07.2006 № 149-ФЗ;
  • Указ Президента РФ от 06.03.1997 №188 “Об утверждении перечня сведений конфиденциального характера”;
  • Постановление Правительства РФ “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” от 15.09.2008 №687;
  • Гражданский кодекс РФ (ГК РФ) Часть 1 от 30.11.1994 № 51-ФЗ;
  • Кодекс об Административных Правонарушениях РФ (КоАП РФ) от 30.12.2001 № 195-ФЗ;
  • Уголовный кодекс РФ (УК РФ) от 13.06.1996 № 63-ФЗ.

2.3. Правила устанавливают порядок обработки персональных данных в Учреждении.

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:

  • сбор, запись, хранение, уточнение (обновление, изменение);
  • систематизацию, накопление;
  • использование, распространение, передачу;
  • обезличивание, блокирование, уничтожение.

2.4. Правила определяют необходимый минимальный объем мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.

2.5. Учреждение не поручает обработку персональных данных другим лицам, ни на каких условиях, включая основания договора.

2.6. Учреждение не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законодательством.

2.7. Настоящие Правила вступают в силу с момента их утверждения и действуют до замены их новыми Правилами.

2.9. Все изменения в Правила вносятся приказом директора Учреждения.

3. Цель и содержание обработки персональных данных

3.1. Цель обработки персональных данных – организация социального обслуживания Учреждением.

3.2. Предоставление государственных услуг и осуществление государственных функций Учреждения, предусматривает обработку следующих персональных данных граждан, обратившихся Учреждение:

Здесь будьте внимательны: указываете все возможные варианты персональных данных, а в соглашениях на обработку персональных данных, Вы конкретно, по структурным подразделениям в соглашениях указываете именно то, что нужно для работы, либо Вы указываете сотрудникам, чтобы из всего перечисленного в соглашениях, они вычеркивали то, что им не нужно для работы. Далее в соглашениях Вы увидите, слова в скобках (ненужное – зачеркнуть):

  • фамилия,
  • имя,
  • отчество,
  • пол,
  • дата рождения,
  • место рождения,
  • адрес проживания,
  • адрес места регистрации,
  • номер телефона,
  • страховой номер индивидуального лицевого счета,
  • серия и номер документа, удостоверяющего личность, кем и когда он выдан,
  • льготная категория,
  • состояние здоровья,
  • жилищно-бытовые условия проживания,
  • информация об имуществе,
  • место работы,
  • доходы,
  • состав семьи.

4. Порядок обработки персональных данных

4.1. Все персональные данные субъектов Учреждение получает от них самих либо от их представителей.

4.2. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных.

4.3. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

4.4. Учреждение оставляет за собой право отказать в предоставлении услуг субъекту персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.

4.5. При установлении договорных отношений с субъектом персональных данных получение письменного согласия на обработку его персональных данных не требуется.

4.6. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия.

4.7. Персональные данные обрабатываются в структурных подразделениях Учреждения в соответствии с исполняемыми функциями.

4.8. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным списком.

4.9. Доступ к персональным данным, обрабатываемым в информационных системах персональных данных (далее – ИСПДн), осуществляется в соответствии с утвержденным списком.

4.10. Уполномоченные лица, допущенные к персональным данным субъектов Учреждения имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными регламентами указанных лиц.

4.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями “Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации” утвержденным постановлением Правительства РФ от 15.09.2008 № 687.

Персональные данные при такой их обработке, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

4.12. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

4.13. Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей обработки или в случае утраты необходимости в их достижении;

Персональные данные подлежат уничтожению в случаях:

  • отзыва согласия субъекта персональных данных;
  • представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявления неправомерной обработки персональных данных.

4.14. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются в соответствии с утвержденным списком.

4.15. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.

4.16. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено Федеральными законами.

4.17. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных.

4.18. Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

4.19. Уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Учреждение уведомляет об этом субъекта или его законного представителя.

4.20. Уничтожение осуществляет комиссия в составе сотрудников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

4.21. Уничтожение достигается путем измельчения на бумагорезательной машине или сожжения (при наличии соответствующего оборудования и помещения). При этом составляется акт, утверждаемый руководителем структурного подразделения, проводившего уничтожение документов. При необходимости уничтожения большого количества документов Учреждение может воспользоваться услугами специализированных организаций по уничтожению или переработке бумаги. В этом случае к акту уничтожения необходимо приложить накладную на передачу документов, подлежащих уничтожению, в специализированную организацию, а так же комиссия, проводящая уничтожение, должна присутствовать при уничтожении документов в специализированной организации.

4.22. Уничтожение полей баз данных Учреждения, содержащих персональные данные субъекта, выполняется в случаях, установленных в пункте 4.13 по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

4.23. Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за техническое обслуживание автоматизированных систем, которым принадлежат базы данных.

4.24. Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый лицом, ответственным за техническое обслуживание автоматизированных систем, которому принадлежат базы данных.

4.25. Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.

4.26. При невозможности осуществления затирания информации на носителях допускается проведение обезличивания путем перезаписи полей баз данных, которые позволяют определить субъекта данными, исключающими дальнейшее определение субъекта.

4.27. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.

4.28. Срок хранения персональных данных 5-лет после снятия субъекта персональных данных с социального обслуживания.

4.29. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

4.30. Сотрудники должны быть ознакомлены под роспись с настоящими Правилами и другими документами Учреждения, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности этой области.

5. Передача персональных данных третьим лицам

5.1. При обработке персональных данных субъекта должны соблюдаться следующие требования:

  • не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;
  • предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.

6. Права субъектов персональных данных

6.1. В целях обеспечения своих интересов субъекты имеют право:

  • получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
  • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом;
  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона. Субъект при отказе Учреждения исключить или исправить персональные данные субъекта имеет право заявлять в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;
  • требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;
  • обжаловать в суд любые неправомерные действия или бездействие Учреждения при обработке и защите персональных данных субъекта.

7. Порядок действий в случае запросов надзорных органов

7.1. В соответствии с частью 4 статьи 20 Федерального закона “О персональных данных” Учреждение сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.

7.2. Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением Учреждения.

7.3. В течение установленного законодательством срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

8. Защита персональных данных субъекта

8.1. Защиту персональных данных субъектов от неправомерного их использования или утраты Учреждение обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.

При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

  • РД ФСТЭК России – “Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”. Утверждены приказом ФСТЭК России №21 от 18 февраля 2013 г.;
  • специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282;
  • внутренними документами Учреждения, действующими в сфере обеспечения информационной безопасности.

8.2. Защита персональных данных предусматривает ограничение к ним доступа.

8.3. Порядок доступа к персональным данным утверждается приказом председателя комитета социальной защиты населения Волгоградской области.

8.4. Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются приказом директора Учреждения.

8.5. Руководитель структурного подразделения Учреждения, осуществляющего обработку персональных данных:

  • несет ответственность за организацию защиты персональных данных в структурном подразделении;
  • закрепляет за сотрудниками, уполномоченными обрабатывать персональные данные, конкретные носители с персональными данными, которые необходимы для выполнения возложенных на них функций;
  • организовывает изучение уполномоченными сотрудниками нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
  • обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении;
  • организовывает контроль доступа к персональным данным в соответствии с функциональными обязанностями сотрудников подразделения.

8.6. Сотрудники, допущенные к персональным данным дают письменное обязательство о неразглашении таких данных в установленном порядке.

9. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

  • знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Учреждения по защите персональных данных;
  • сохранять конфиденциальность персональных данных;
  • обеспечивать сохранность закрепленных за ними носителей персональных данных;
  • контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
  • докладывать своему непосредственному руководителю отдела (структурного подразделения) обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

10. Ответственность сотрудника за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.

10.2. К данным лицам могут быть применены следующие дисциплинарные взыскания:

  • замечание;
  • выговор;
  • увольнение.

10.3. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.

10.4. Копия приказа о применении к сотруднику дисциплинарного взыскания с указанием оснований его применения вручается сотруднику под расписку в течение пяти дней со дня издания приказа.

10.5. Если в течение года со дня применения дисциплинарного взыскания сотрудник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания. Директор Учреждения, до истечения года со дня издания приказа о применении дисциплинарного взыскания, имеет право снять его с сотрудника по собственной инициативе, по письменному заявлению сотрудника или по ходатайству его непосредственного руководителя.

Готовый документ-шаблон – данное приложение в формате docx можно бесплатно скачать здесь: Приложение 1. Правила обработки персональных данных.

Персональные данные — понятие и состав

Согласно пункту 1 статьи 3 ФЗ № 152, под персональными данными следует понимать любые сведения, которые относятся к конкретному человеку или позволяют идентифицировать его среди других людей. Важно помнить, что речь идет только о физических лицах — именно их статья 3 ФЗ № 152 именует субъектами персональных данных. Сведения об организациях, органах власти, обезличенная статистическая или аналитическая информация к категории персональных данных не относятся.

Исчерпывающего перечня сведений, которые можно отнести к личным данным гражданина, действующее законодательство не содержит, однако анализ статьи 8 ФЗ № 152 позволяет причислить к таковым:

  • имя, фамилию и отчество;
  • дату и место рождения;
  • номер телефона;
  • адрес пребывания;
  • данные об образовании и профессии;
  • сведения о семейном, имущественном положении, доходах и т. п.

Любые ограничения и меры по защите личной информации о человеке, согласно статье 2 ФЗ № 152, принимаются исключительно в целях соблюдения его прав и свобод на личную и семейную тайну, неприкосновенность частной жизни и т. д. При этом нормативному регулированию, согласно статье 1 ФЗ № 152, подлежат отношения, которые возникают в организациях в связи со сбором и обработкой личных данных человека как в письменной, так и в электронной форме. Организация (юридическое лицо, орган государственной и муниципальной власти), которой в силу своей деятельности необходимо осуществлять обработку персональных сведений о гражданах, признается в силу статьи 3 ФЗ № 152 оператором персональных данных. Обработка включает в себя любые операции, проводимые вручную или при помощи компьютерной техники, направленные на сбор, уточнение, хранение и последующие обезличивание и уничтожение собранной информации.

Ограничения на сбор и обработку персональных данных

Часть 2 статьи 5 ФЗ № 152 определяет, что личные данные граждан должны собираться только для достижения целей, указанных в действующем законодательстве. Полный перечень таких случаев содержится в части 1 статьи 6 того же закона. Так, в рамках хозяйственной деятельности организации сбор личных данных может проводиться:

  1. Для исполнения договоров или иных соглашений, по которым гражданин является стороной, поручителем или бенефициаром.
  2. Для защиты жизни, здоровья и иных значимых интересов гражданина.
  3. В целях соблюдения прав и интересов оператора, а также третьих лиц в случаях, указанных в законодательстве. Например, статьи 4, 5 закона «О защите…» от 03.07.2016 № 230-ФЗ допускают сбор и использование личных данных должника без его разрешения для обеспечения взыскания кредиторской задолженности, как самому кредитору, так и лицам, действующим от его имени.
  4. В иных ситуациях по просьбе или с разрешения гражданина.

Также практикам необходимо учитывать, что (статья 5 ФЗ № 152):

  • объем и характер собираемой информации должны соответствовать поставленной цели;
  • недопустимо объединение между собой данных, сбор которых осуществляется для различных целей;
  • хранение личной информации граждан должно выполняться в течение определенного законом времени либо разумного срока, требуемого для достижения цели оператора данных (при этом в последующем информация должна быть удалена либо обезличена, если необходимости в таком хранении больше нет).

Общие правила, порядок действий, инструкция по работе с персональными данными в организации

Правовой основой для работы сотрудников организаций с личными данными граждан являются нормы статьи 18.1 ФЗ № 152, которая определяет перечень мероприятий для выполнения обязанностей по соблюдению прав граждан в части обработки их личных данных.

Скачать положение об обработке
персональных данных

К таковым мерам, в частности, следует отнести:

Не знаете свои права? Подпишитесь на рассылку Народный СоветникЪ.
Бесплатно, минута на прочтение, 1 раз в неделю.

  • назначение сотрудника, который будет нести ответственность и осуществлять контроль за деятельностью других работников по соблюдению норм ФЗ № 152 в конкретной организации;
  • издание правового акта (инструкции, приказа, положения), который определяет основные правила работы с личными данными в организации;
  • применение технических или организационных мер для защиты личной информации о гражданах: учет носителей личной информации, регламентирование доступа к ним, использование программ, обеспечивающих защиту машинных носителей информации, и т. д.;
  • осуществление внутреннего контроля за обработкой личных данных;
  • проведение инструктажа, ознакомления работников с правилами обработки персональных данных.

Часть 4 статьи 18.1 ФЗ № 152 указывает, что организации необходимо представить по запросу контрольно-надзорных органов документы и локальные акты (инструкцию, положение, приказ и т. д.) либо подтвердить иным способом принятие мер, направленных на защиту прав и интересов граждан, чьи данные подлежат обработке. Более того, часть 2 статьи 18.1 ФЗ № 152 обязывает организацию обеспечить доступ к данным документам всех заинтересованных лиц.

Ручная обработка личных данных

При ручной, то есть с непосредственным участием человека, обработке личных данных граждан (ведении книг, картотек, реестров, карточек, журналов и т. п.) в инструкции организации должны быть учтены требования положения, утвержденного постановлением Правительства РФ «Об утверждении…» от 15.09.2008 № 687. Согласно пунктам 6 и 7 обозначенного положения, организации необходимо учесть следующее:

  1. Важно ознакомить сотрудников, осуществляющих обработку личных данных граждан, с целями, требованиями и правилами ведения такой работы.
  2. Используемые бумажные носители информации (правила заполнения, карточки, реестры, журналы и т. д.) должны включать информацию о целях обработки личных данных, наименовании и месте нахождения оператора, инициалы и адреса граждан, чьи персональные данные подлежат обработке, сроки хранения и обработки сведений, а также перечень способов обработки личных данных.
  3. В типовой форме должно иметься поле для подписи лица, подтверждающей согласие на работу с личными данными.
  4. В типовой форме должна быть исключена возможность смешения данных, собираемых для разных целей.
  5. Ведение типовых форм должно происходить таким образом, чтобы каждый конкретный гражданин мог ознакомиться со своими личными данными (проверить или уточнить правильность их внесения и т. д.), не имея при этом доступа к данным других граждан.

Практикам также следует учитывать, что пункт 8 указанного положения содержит ряд дополнительных требований к ведению типовых форм, обеспечивающих пропуск гражданина на территорию оператора. Так, необходимость ведения учетных форм и требования к ним должны быть прямо прописаны в нормативном акте организации, а копирование информации, содержащейся в подобных документах, запрещается.

Применение автоматизированных систем

В случае обработки личных данных с помощью автоматизированных систем организации следует также руководствоваться требованиями, утвержденными постановлением Правительства РФ «Об утверждении…» от 01.11.2012 № 1119. Согласно пунктам 3 и 4 обозначенных требований, обязанности по безопасной обработке персональных данных при помощи компьютерной техники возлагаются на организацию.

Перечни мер, которые могут быть использованы для защиты данных, утверждаются соответствующими документами Правительства РФ и Роскомнадзора. К таковым, в частности, можно отнести:

  • постановление Правительства РФ «Об утверждении…» от 06.07.2008 № 512, которое регламентирует порядок работы с биометрическими персональными данными;
  • приказ Роскомнадзора «Об утверждении…» от 05.09.2013 № 996, определяющий методы обезличивания таких данных.

Необходимость применения конкретных мер для защиты информации определяется пунктами 6 и 7 обозначенных Требований исходя из степени ее важности, а также уровня потенциального вреда гражданам, который может быть нанесен при несанкционированном доступе к таким данным.

Охрана личных данных и предоставление (передача) их третьим лицам

Согласно пункту 6 статьи 3 ФЗ № 152, под передачей личных данных понимается их раскрытие конкретному лицу либо нескольких определенным лицам. В силу статьи 7 ФЗ № 152 организации прямо запрещено раскрытие полученных ею личных данных граждан без получения согласия последних, если возможность такого предоставления прямо не предусмотрена действующим законодательством. Что же касается порядка допустимого предоставления такой информации, то он регулируется частями 3 и 4 статьи 18 ФЗ № 152.

Охрана личных данных предполагает использование комплекса юридических, организационных и технических мероприятий, перечень которых обозначен в статье 19 ФЗ № 152, в целях предотвращения несанкционированного доступа и нанесения вреда интересам граждан, чьи данные имеются в организации. При этом мероприятия по охране личной информации проводятся как самой организацией, так и государством — посредством осуществления государственного контроля за их выполнением. Перечень возможных нарушений, а также рамки ответственности за них определяются статьей 13.11 КоАП РФ.

***

Подводя итог, следует отметить, что действующий ФЗ № 152 и подзаконные акты определяют лишь общие требования к работе с личными данными, при этом оставляя организации право выбора конкретных мероприятий, при помощи которых перечисленные требования будут соблюдаться.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *