Актуализация персональных данных работников
Политика обработки персональных данных: как составить документ
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.
Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.
2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.
Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.
Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.
Структура Политики обработки персональных данных
Ведомство рекомендует предусмотреть в документе шесть основных компонентов:
- Общие положения
- Цели сбора персональных данных
- Правовые основания обработки персональных данных
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
- Порядок и условия обработки персональных данных
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
1. Общие цели
В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.
2. Цели сбора персональных данных
Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.
Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:
- из анализа правовых актов, регламентирующих деятельность оператора;
- из целей фактически осуществляемой оператором деятельности;
- из деятельности, которая предусмотрена учредительными документами оператора;
- из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
3. Правовые основания обработки персональных данных
Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.
Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.
К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Узнать больше
Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).
5. Порядок и условия обработки персональных данных
Что указывается в этом разделе:
- перечень действий, совершаемых с персональными данными;
- способы обработки персональных данных;
- сроки обработки персональных данных.
Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:
- пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
- указать наименование и местонахождение третьих лиц;
- обозначить цели передачи данных и их объем;
- перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.
В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).
Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.
Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.
В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.
Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.
На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.
Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.
Размещение Политики обработки персональных данных в офисе и на сайте
Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.
Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Источник: https://kontur.ru/articles/4871
Образец приказа о персональных данных работников
Развитие информационных технологий сделало тему защиты персональных данных одной из наиболее обсуждаемых на самых разных уровнях.
Масштабные скандалы с утечками конфиденциальной информации из Белого дома или личных сведений миллионов посетителей международного сайта знакомств прогремели на весь мир.
Есть случаи и помельче, на уровне организаций (например, использование сотрудницами отдела кадров страниц с личной информацией сотрудников в качестве черновиков-«обороток», размещение в открытом доступе сведений об учениках образовательных учреждений или пациентах клиник).
Часто это происходит по незнанию: не все должностные лица понимают, что входит в состав персональных данных. Тем не менее, поисковая фраза «скачать образец приказа о защите персональных данных работников 2020 год» находится на лидирующих позициях в поисковых системах. И на это есть вполне понятные причины.
Отношение государства к таким «оплошностям» решительно меняется в сторону ужесточения наказаний за них. Чтобы не иметь неприятностей, нужно организовать защиту персональных данных так, как этого требует глава 14 ТК РФ и закон № 152-ФЗ. В статье мы коротко расскажем о том, какой пакет документов нужно подготовить, а также дадим образец приказа о защите персональных данных работников.
Организация защиты (пакет документов)
Руководитель предприятия должен своим приказом назначить одного из сотрудников ответственным за обработку и хранение конфиденциальной информации и поручить ему составить локальные нормативные акты. Вот их небольшой перечень:
- политика организации в отношении персональных данных (в данном случае будет составлен образец приказа об утверждении политики обработки персональных данных в целом по организации);
- положение об обработке и защите конфиденциальной информации (приказ на утверждение положения о защите персональных данных);
- перечень лиц, имеющих к ней доступ;
- согласие на обработку (в общем случае согласие нужно получить от сотрудников, в частных случаях, например, для школ — от родителей, для медучреждений — от пациентов, для газет, журналов и издательств — от авторов и т. д.);
- соглашение о неразглашении;
- журнал учета передачи данных.
Порядок разработки и утверждения
Насколько хорошо организации выполняют требования 152-ФЗ, проверяет Роскомнадзор в соответствии с Административным регламентом, утвержденным Приказом Минкомсвязи России от 14.11.2011 № 312.
Для того чтобы у инспектора не было повода «принимать меры», нужно подготовить документы, перечисленные выше, и утвердить их приказами руководителя.
Основополагающим станет распоряжение об утверждении Положения — смотрите образец приказа об утверждении положения о персональных данных (2020 год).
Образец приказа о персональных данных работников 2020
СкачатьКрайне важно соблюдать правило, сформулированное в ст. 86 ТК РФ: все, что мы знаем о работнике, мы должны узнать от него самого.
В крайнем случае можно обратиться к так называемой третьей стороне, если работник не владеет необходимой информацией (забыл, потерял…), но только с его ведома (например, запросить копию диплома в архиве вуза).
Работника необходимо поставить об этом в известность и получить его согласие: это делается в форме заявления-согласия на получение сведений у третьей стороны.
Все это надо прописать в положении, с которым работник должен быть ознакомлен до момента подписания трудового договора.
Допуск к персональным данным
Персональные данные работников — это, образно говоря, «золото и бриллианты», доступ к которым ограничен даже для сотрудников организации. Кто будет иметь к ним доступ — решает директор.
Общие требования по работе в данном направлении прописываются в положении (образец приказа об утверждении положения о защите персональных данных 2020 году можно сделать в свободной форме, унифицированной формы данного документа не существует).
В то же время отдельным нормативным документом пишут, кто, когда и с какой целью имеет доступ к тем или иным персональным данным. Полный допуск, как правило, имеют:
- генеральный директор и его заместитель по безопасности;
- начальник отдела кадров.
Остальные специалисты, в том числе и бухгалтеры, могут иметь доступ только к той информации, которая им необходима для выполнения своих должностных обязанностей.
Особые случаи
Бывает, что сведения меняются (например, женщина выходит замуж и меняет фамилию или студент получает диплом о высшем образовании).
В этом случае сотрудник подает заявление, и на его основе издается приказ о внесении изменений в ряд документов (см. образец приказа об изменении персональных данных работника).
Однако это распоряжение не относится к документам, наличие которых продиктовано ФЗ-152, — это один из стандартных приказов по кадрам.
СкачатьЕсть информация, которая является максимально конфиденциальной (см. образец приказа о допуске к персональным данным работников), и попытки выведать у сотрудника, в каких он состоит сообществах, каковы его религиозные убеждения, как он себя чувствует и каких политических взглядов придерживается, незаконны. Однако существует длинный перечень условий, при которых это все-таки возможно (ст. 10 ФЗ № 152-ФЗ). К таким исключениям (среди прочих) относятся, например, случаи получения мотивированных запросов (содержащих цель запроса, обоснование компетенции органа и правовые основы запроса) прокуратуры, органов МВД или Трудовой инспекции, а также информация медицинского характера, если она необходима для оказания помощи больному. Действительно, пациенты медицинских организаций очень чувствительны к соблюдению приватности, но их защищает обязанность медработника соблюдать врачебную тайну (ст. 73 ФЗ № 323-ФЗ).
Медицинская организация обязана особенно внимательно относиться к обработке данных и готовить свою, отраслевую документацию, например иметь приказ о утверждении положения о защите персональных данных и приказ «Перечень персональных данных пациентов, подлежащих защите».
Как организовать работу с персональными данными на предприятии, видео
Источник: https://clubtk.ru/forms/personalnyye-dannyye/obrazets-prikaza-o-personalnykh-dannykh-rabotnikov-2017