Содержание
- 1 Учет носителей персональных данных
- 2 Приложение N 16. Журнал учета съемных машинных носителей персональных данных
- 3 Приложение 4. Правила работы с носителями персональных данных
- 4 Персональные данные: «соломка» для кадровика
- 5 Приложение N 11. Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
- 6 Учет носителей персональных данных
- 7 Как подготовиться к проверке Роскомнадзора?
- 8 5 шагов по организации учета и хранения персональных данных
Учет носителей персональных данных
08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).
Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.
Источник: http://ispdn.ru/forum/forum1/topic3386/
Приложение N 16. Журнал учета съемных машинных носителей персональных данных
ГАРАНТ:
См. данную форму в редакторе MS-Word
Приложение N 16
к приказу Департамента
строительства Вологодской области
от «04» июня 2018 года N 107
Учетный инвентарный номер носителя
Откуда поступил или куда направлен
Кому выдан носитель (подразделение, Ф.И.О.)
Место нахождения/хранения носителя (адрес, кабинет)
Дата и расписка
Подпись ответственного лица
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Источник: http://base.garant.ru/46340580/a561883a869c3f065f67e98041daebaa/
Приложение 4. Правила работы с носителями персональных данных
Приложение 4
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833
Правила
работы с носителями персональных данных
1. Общие положения
1.1. Правила работы с машинными носителями персональных данных (далее — правила) определяют обязанности, права и ответственность пользователей, осуществляющих учет, хранение и обращение со съемными носителями персональных данных, а также их уничтожение.
1.2. В настоящих правилах используются следующие термины и определения:
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
— хранилище носителей персональных данных — сейф или запираемый шкаф (ящик);
— носитель персональных данных — отчуждаемый машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, на основе которых можно установить его личность.
1.3. Настоящие правила являются обязательными для всех пользователей, ведущих обработку персональных данных в информационных системах персональных данных.
2. Учет носителей персональных данных
2.1. Все находящиеся на хранении и в обращении у оператора носители персональных данных подлежат учету. Каждый носитель персональных данных, с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный регистрационный номер.
2.2. Учет и выдача носителей персональных данных производится с отметкой в журнале учета машинных носителей информации, осуществляется уполномоченной организацией по обеспечению безопасности персональных данных при их обработке в муниципальных ИСПДн (далее — уполномоченная организация).
2.3. Пользователи, участвующие в обработке персональных данных, в случае необходимости получают учтенный носитель персональных данных от уполномоченной организации для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета носителей персональных данных.
2.4. По окончании работ пользователь сдает носитель персональных данных для хранения уполномоченной организации, о чем делается соответствующая запись в журнале учета.
3. Хранение носителей персональных данных
3.1. По окончании рабочего дня все носители персональных данных, содержащие персональные данные, помещаются в хранилище носителей персональных данных. Исключение составляют носители, персональные данные с которых или на которых формируются или обрабатываются в данный момент на рабочем месте.
3.2. Хранилище носителей персональных данных запирается на ключ и опечатывается, при этом доступ посторонних лиц к ключу и печати должен быть исключен.
3.3. Перед вскрытием хранилища носителей персональных данных необходимо проверить целостность печати на хранилище.
3.4. В случае обнаружения повреждений оттиска печати на хранилище, утраты печати или ключа от хранилища необходимо незамедлительно сообщить ответственному за организацию обработки персональных данных.
3.5. За сохранность конкретного носителя персональных данных отвечает пользователь, получивший этот носитель в пользование под расписку в журнале учета.
3.6. Не допускается:
— хранение носителей персональных данных вместе с носителями открытой информации, на рабочих столах либо оставление их без присмотра или передача на хранение другим лицам;
— вынос носителей персональных данных из служебных помещений для работы с ними на дому, в гостиницах и так далее.
3.7. Командируемым работникам под их личную ответственность с письменного разрешения руководителя оператора разрешается иметь при себе в пути следования носители персональных данных.
4. Передача носителей персональных данных
4.1. Передача носителей персональных данных от одного пользователя другому производится с обязательной отметкой в журнале учета.
4.3. Вынос носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя оператора.
4.4. Передача носителей персональных данных в другие организации производится курьерской службой, а также заказными почтовыми отправлениями. При пересылке носителей персональных данных почтовыми отправлениями они должны быть помещены в дополнительный конверт.
4.5. Персональные данные запрещается передавать по каналам факсимильной связи, с использованием глобальных сетей без использования мер защиты.
5. Утрата носителей персональных данных
5.1. О фактах утраты носителей персональных данных либо разглашения содержащихся на них сведений немедленно ставится в известность ответственный за организацию обработки персональных данных.
5.2. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета носителей персональных данных.
5.3. По факту утраты носителей персональных данных проводится служебное расследование и составляется акт, который представляется ответственному за организацию обработки персональных данных, для принятия решения.
6. Уничтожение носителей персональных данных
6.1. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
6.2. Уничтожение носителей персональных данных производится соответствующей комиссией, осуществляющей уничтожение носителей персональных данных и иной конфиденциальной информации, находящейся на программно-технических средствах ИСПДн.
6.3. Состав комиссии утверждается приказом руководителя оператора.
6.4. В состав комиссии должен входить сотрудник уполномоченной организации.
6.5. По окончании сроков хранения носители персональных данных, подлежащие уничтожению, физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя персональных данных или его сжигания. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются путем многократной перезаписи файлов случайными символами.
6.6. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что персональные данные и лицензированное программное обеспечение были удалены.
6.7. Поврежденные носители могут потребовать оценки рисков, для того чтобы определить, следует ли их уничтожить или ремонтировать.
6.8. В случае допустимости повторного использования носителя формата FDD, CD-RW, DVD-RW, flash-носителей применяется программное удаление («затирание») содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.9. По результатам уничтожения носителей персональных данных комиссией составляется и подписывается соответствующий акт об уничтожении носителей.
6.10. В течение трех дней после составления акты об уничтожении направляются комиссией на утверждение руководителю оператора.
6.11. Факт уничтожения носителей персональных данных фиксируется в журнале учета с указанием даты и номера акта уничтожения. Данный журнал является документом конфиденциального характера.
> Правила эксплуатации криптосредств и криптографических ключей к ним |
Содержание Постановление Администрации г. Сургута Ханты-Мансийского автономного округа — Югры от 5 июня 2015 г. N 3833 «Об утверждении. |
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Источник: http://base.garant.ru/29142111/172a6d689833ce3e42dc0a8a7b3cddf9/
Персональные данные: «соломка» для кадровика
«Знал бы, где упаду, соломку бы подстелил», — с таким же ощущением сегодня ждут проверки Роскомнадзора. Однако, к счастью для кадровиков, есть человек, который знает типичные нарушения закона № 152-ФЗ и требования контролирующих органов к кадровой службе. Сегодня Александр Цыкарев расскажет, как избежать нарушений ФЗ-152 и, как следствие, предписаний и штрафов.
Александр Цыкарев, руководитель проектов по защите информации компании СКБ Контур. |
Места хранения
Во-первых, нужно определиться с местами хранения личных дел сотрудников и других документов, содержащих персональные данные сотрудников (например, трудовые договора и карточки учета). Необходимо составить перечень таких «хранилищ» и утвердить его приказом по организации.
Во-вторых, хранить вышеназванные документы следует таким образом, чтобы исключить несанкционированный доступ к ним сотрудников, в чьи функциональные обязанности не входит обработка ПДн, а также посторонних лиц. Для хранения данных документов необходимо использовать запираемые на ключ помещения, ящики, шкафы, сейфы и т д. Конкретных требований к надежности таких «хранилищ» на данный момент нет.
Избыточная информация
При работе с ПДн важно обрабатывать только ту информацию, которая необходима для выполнения целей. Избыточные персональные данные (например, подробные сведения о родственниках сотрудника) необходимо удалять путем вымарывания, вычеркивания и т п. Мероприятия, которые можно проводить для удаления ПДн с бумажных носителей, подробнее описаны в Постановлении Правительства № 687.
Также представители Роскомнадзора негативно относятся к хранению в личных делах копий паспортов, водительских удостоверений (если сотрудник не выполняет обязанности водителя), т.к. их наличие в кадровой службе не регламентировано ни одним законодательным актом. Проще отказаться от использования копий данных документов и пользоваться просто паспортными данными, чем потом доказывать проверяющему законность хранения копий.
Базы резюме
Дополнительную проблему создает хранение резюме соискателей. Вообще хранение и обработка таких резюме находится на грани соответствия ФЗ «О персональных данных», что признают и сами представители Роскомнадзора. Поэтому, если хранение резюме не является для вашей организации необходимостью, то проще их удалить и тем самым избежать рисков, связанных с их обработкой. В противном случае необходимо применение дополнительных организационно-распорядительных, а в ряде случаев и технических мер.
Работающие с персданными
Сотрудники, в чьи функциональные обязанности входит работа с персональными данными, а это практически все сотрудники отдела кадров, должны быть допущены к обработке персональных данных отдельным приказом «О доступе к персональным данным». В нем указывается Ф.И.О. сотрудника, его должность, можно также указать характер обработки (автоматизированная/неавтоматизированная), но это не является обязательным.
Помимо этого необходимо вести журнал учета лиц, допущенных к обработке ПДн. Отличие от сведений, представленных в приказе «О доступе к персональным данным», заключается в указании даты начала предоставления доступа к ПДн и даты прекращения данного доступа (например, при увольнении сотрудника или переходе в другой отдел).
Также с вышеперечисленных сотрудников необходимо взять «Обязательство о неразглашении информации конфиденциального характера», к которой как раз и относятся персональные данные сотрудников.
Формы приказов, журналов, обязательств обычно разрабатываются сотрудниками, ответственными за защиту ПДн в организации, либо юридическим отделом.
Одно из самых частых нарушений — использование неучтенных носителей информации (дискет и флешек). Нельзя подключать к компьютерам отдела кадров все подряд флеш-накопители. Согласно требованию Постановления Правительства №781, все отчуждаемые носители информации должны быть учтены в специальном журнале. Т.е. все флешки сотрудников отдела кадров необходимо записать в отдельный журнал, в котором указываются модели и серийные (либо инвентарные) номера.
Большинство нарушений, выявляемых в ходе проверок контролирующими органами в кадровой службе, связаны с нарушением правил обработки и хранения персональных данных на бумаге.
Источник: http://kontur.ru/articles/2128
Приложение N 11. Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
к приказу N 111 от 28 мая 2012 г.
Утверждаю
Начальник
Главного управления по труду и занятости
населения Тверской области
________ Исаев С.А.
«___» _______________ 20___ г.
Инструкция
об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных
1. Настоящая Инструкция устанавливает организацию учета, хранения и выдачи машинных носителей, содержащих персональные данные информационных систем персональных данных Главного управления по труду и занятости населения Тверской области (ИСПДн).
2. Учет, хранение и выдачу машинных носителей персональных данных осуществляют ответственные за эксплуатацию ИСПДн. Данные сотрудники несут личную ответственность за сохранность персональных данных. При увольнении сотрудника, ответственного за учет, хранение и выдачу машинных носителей персональных данных, составляется акт приема-сдачи этих документов, который утверждается Начальником Главного управления по труду и занятости населения Тверской области.
3. Организация учета машинных носителей персональных данных.
Все находящиеся на хранении и в обращении машинные носители персональных данных (далее — носители) подлежат учёту. Учет всех видов и типов носителей производится в Журнале учета машинных носителей, содержащих персональные данные.
Видео (кликните для воспроизведения). |
Каждый носитель должен иметь этикетку, на которой указывается его уникальный учетный номер. На несъемной части упаковки носителя ПДн указывается:
— отметка «Персональные данные»;
— дата регистрации (день, месяц, год);
— ФИО, должность, подпись сотрудника выполнившего учет.
4. Организация выдачи машинных носителей персональных данных.
Пользователи ИСПДн получают учтенный съемный носитель от уполномоченного сотрудника, для выполнения работ на конкретный срок. При получении делаются соответствующие записи в Журнале учета машинных носителей, содержащих персональные данные. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в Журнале учета машинных носителей, содержащих персональные данные.
5. Организация хранения машинных носителей персональных данных.
Хранение носителей осуществляется в условиях, исключающих несанкционированное копирование, изменение или уничтожение конфиденциальной информации, а также хищение носителейНосители должны храниться в служебных помещениях, в металлическом хранилище (сейфе) — установленным порядком. Запрещается хранить машинные носители персональных данных вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам.
6. В случае утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений, немедленно ставится в известность администратор безопасности информации. Соответствующие отметки вносятся в Журнале учета машинных носителей, содержащих персональные данные.
7. Носители, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. По результатам уничтожения носителей составляется Акт уничтожения машинных носителей персональных данных.
8. При передаче средств вычислительной техники ИСПДн сторонним организациям для проведения ремонтно-восстановительных или иных работ, несъемные машинные носители изымаются из состава средств вычислительной техники.
9. Ответственность за выполнение правил эксплуатации машинных носителей персональных данных при выполнении непосредственных работ с носителями несет пользователь ИСПДн.
10. Контроль выполнения пользователями установленных правил эксплуатации машинных носителей персональных данных, осуществляет ответственный за эксплуатацию ИСПДн и администратор безопасности информации в рамках своих должностных обязанностей.
Источник: http://base.garant.ru/16350871/f6f0ec652252aa43197083453716d1f5/
Учет носителей персональных данных
08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).
Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.
Обучение
Реклама
Партнеры
Форум
Подпункты пункта «местонахождение» — «№ кабинета» и «шкаф, стойка, сервер и др.».
Можно добавить графу «выдача/получение носителя» и «подпись ответственного лица».
Порядок учета флешек тоже сами придумываете — если необходимо, то получать у ответственного лица, хранить в сейфе и т.д.
Цитата |
---|
Так что вносить в журнал Учета носителей информации содержащих ПДн?
Вносить только те носители, на которых содержатся ПДн. В примере с 1С — винчестер сервера, винты рабочих станций вносить не надо
Цитата |
---|
Что то я не нашел серийных номеров ни в Эвересте ни в новой A />
Серийник показывается в разделе ATA или SMART
ААА. нашел. спасибо за подсказку, действительно написан серийник.
Жаль только на сервере вместо названия и серийника Everest выдает что подключен Raid масив.
Цитата |
---|
ААА. нашел. спасибо за подсказку, действительно написан серийник.
Жаль только на сервере вместо названия и серийника Everest выдает что подключен Raid масив.
Так и должно быть. На сервере серийники можно посмотреть в БИОС рэйд-массива.
Завели журнал учета электронных носителей содержащих ПДн.
В него внес: HDD серверов,
HDD съемных жестких дисков на которых содержаться архивы программ обрабатывающих ПДн,
DVD- диски с архивами программ
HDD — рабочих станций на которых стоят клиенты программ в журнал заносить не стал.
Или все же не учитывать эти носители с ПДн в данном журнале.
Источник: http://ispdn.ru/forum/forum1/topic3058/
Как подготовиться к проверке Роскомнадзора?
Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.
Есть восемь моментов, на которые обращает внимание Роскомнадзор.
1. Ознакомление работников
Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:
- Политика в отношении обработки персональных данных;
- Положение об обработке персональных данных;
- Положение об обработке персональных данных без использования средств автоматизации.
2. Обучение работников в области защиты персональных данных
Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:
- приказом о допуске к обработке ПДн;
- Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
- планом проведения внутреннего контроля;
- приказом об утверждении перечня помещений, в которых ведется обработка;
- инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.
Убедитесь в том, что персональные данные в вашей компании защищены
3. Актуализация уведомления в Роскомнадзор об обработке ПДн
При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.
В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.
С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.
4. Согласие субъектов на обработку ПДн
В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:
- обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
- обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
- составление общедоступных справочников внутри организации, адресных книг и т п.
При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:
- ФИО, адрес, паспортные данные субъекта ПДн;
- ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- наименование (ФИО) и адрес оператора;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие;
- наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
- перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
- срок, в течение которого действует согласие субъекта ПДн;
- подпись субъекта ПДн.
5. Поручение обработки третьему лицу
В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.
Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.
Поручение оператора содержит:
- перечень действий с ПДн;
- цели обработки ПДн;
- обязанность соблюдения конфиденциальности ПДн;
- обязанность обеспечения безопасности ПДн;
- требования к защите ПДн.
При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.
6. Обработка ПДн на бумажных носителях
Бумажные носители ПДн также должны отвечать ряду требований законодательства:
Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.
Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.
7. Избыточность обрабатываемых персональных данных
Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.
8. Публикация Политики
Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.
Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур
Источник: http://kontur.ru/articles/2832
5 шагов по организации учета и хранения персональных данных
Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.
Какие данные являются персональными
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).
К общим персональным данным можно отнести следующие сведения:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес (место регистрации);
- образование, профессия;
- изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Кроме того, в Законе о персональных данных упоминаются:
- специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
- биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.
Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:
- в паспорте или ином документе, удостоверяющем личность;
- трудовой книжке;
- документах о воинском учете, образовании, составе семьи;
- справке о доходах с предыдущего места работы;
- анкете, заполняемой при трудоустройстве;
- личной карточке работника (форма Т-2);
- свидетельствах о заключении брака, рождении ребенка;
- медицинских справках и др.
У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.
Обработка персональных данных
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).
Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.
В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:
1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).
В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):
- цели получения персональных данных работника у третьего лица;
- предполагаемые источники информации (лица, у которых будут запрашиваться данные);
- способы получения данных, их характер;
- возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.
Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).
В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).
Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.
2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);
3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.
При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).
Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):
- из документов (сведений), предъявляемых при заключении трудового договора;
- по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
- в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
- от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
- от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).
Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).
Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.
Организация учета и хранения персональных данных
Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).
Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.
Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.
Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.
В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).
Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.
Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.
Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:
- заявления работников о согласии на обработку персональных данных;
- журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
- журнал проверок наличия документов, содержащих персональные данные работника.
Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.
Подведем итоги
Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
- от всех ли работников получено согласие на обработку персональных данных;
- ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
- должным ли образом осуществляется хранение и защита персональных данных;
- соответствует ли документация об их обработке требованиям законодательства и т.д.
Видео (кликните для воспроизведения). |
Источник: http://school.kontur.ru/publications/1583
Юрист в сфере гражданского права.
Стаж: 8 лет