Перед кем оператор персональных данных несет ответственность

Хранение персональных данных в облаке: что бизнесу нужно об этом знать | Rusbase

Небольшим компаниям непросто соблюсти все требования закона о персональных данных. Олег Коновалов, руководитель направления облачных сервисов OnCloud.ru компании «Онланта» (входит в группы компаний «ЛАНИТ»), рассказывает, зачем отдавать обработку персональных данных на аутсорсинг и как посчитать стоимость их обработки внутри компании.

Чаще всего компании, предоставляющие услугу обработки персональных данных, – это облачные сервис-провайдеры.

Они имеют необходимые ресурсы для обработки и хранения персональных данных: межсетевые экраны, маршрутизаторы, ПО для защиты от несанкционированного доступа, антивирусы, и еще у них есть сотрудники для администрирования средств защиты.

Что именно я отдам на аутсорсинг?

Сценариев может быть несколько.

• Передать на обслуживание аутсорсинговой компании всю IT-инфраструктуру, в том числе и защиту персональных данных.
• Передать на обслуживание информационную систему, содержащую персональные данные. Сервис-провайдер разместит ее в защищенном облаке вместе с рабочими местами пользователей этой системы.
• Разместить в защищенном облаке информационную систему, содержащую персональные данные, а защитой рабочих мест пользователей заниматься самостоятельно.
• Разместить в защищенном облаке только базу данных с персональными данными.

На рынке наибольшей популярностью пользуются третий и четвертый сценарии – это наиболее простые решения, поэтому и самые тиражируемые.

Они удобны для провайдера, так как у него уже создана и аттестована техническая база под данные услуги, требуется лишь обеспечить доступ заказчиков в инфраструктуру.

Первый и второй сценарии выбирают, как правило, крупные компании с большим бюджетом и специфическими бизнес-задачами.

Чего ждать от сервис-провайдера?

Вы точно можете рассчитывать на партнерство и консультационную поддержку. Что именно делает сервис-провайдер?

• Дает рекомендации. Нюансов в сфере хранения персональных данных действительно много. Все они связаны со спецификой конкретного бизнеса.
• Делает расчет необходимых вычислительных мощностей в облаке.
• Переносит ваши системы на эти мощности.
• Организует закрытый контур для персональных данных. Закрытый контур – сеть или сегмент сети, защищенный с помощью сертифицированных технических и программных средств. Если закрытый контур в облаке аттестован ФСТЭК и ФСБ, это, как правило, снимает большую часть вопросов при проверке Роскомнадзора.
• Помогает с подготовкой необходимых документов и внутренних регламентов для работы с персональными данными.

Цена вопроса

Для оценки мы использовали решения компаний «Код безопасности» и Infotecs. Рассмотрим простой вариант: 2-3 сервера в закрытом контуре, 20-30 пользователей, которые подключаются к ним с помощью VPN c ГОСТ-шифрованием.

За помощь в подготовке внутренних распорядительных документов и настройку средств безопасности сервис-провайдер попросит 75-100 тысяч рублей разовым платежом плюс ежемесячные отчисления в размере 15-20 тысяч рублей – за предоставление средств защиты для серверов и рабочих мест пользователя и их администрирование. Стоимость такой услуги из расчета на 3 года, как правило, на 50-100% ниже, чем внедрение решения у себя. Оплачивать эту услугу вы будете на ежемесячной основе по счетам, выставляемым сервис-провайдером.

При самостоятельной организации хранения персональных данных только на оборудование и покупку лицензий уйдет 200-300 тысяч рублей. Трудозатраты и дальнейшая поддержка информационной системы – отдельная статья расходов.

Если задача, которая стоит перед бизнесом, выбивается из данного описания, это не значит, что сервис-провайдер не сможет организовать защиту персональных данных конкретно под ваш кейс, просто потребуется более серьезная проработка решения.

Кто будет нести ответственность?

Закон позволяет передать информационные системы, в которых обрабатываются персональные данные, на аутсорсинг. Cервис-провайдер может взять на себя все технические работы по обработке персональных данных и разделить юридическую ответственность оператора персональных данных.

В ФЗ-152 очень четко определена ответственность. Оператор отвечает непосредственно перед субъектом персональных данных, поэтому каждый сервис-провайдер должен быть оператором персональных данных.

При покупке услуги по их хранению и обработке, помимо основного договора, необходимо заключить договор-поручение. В этом документе один оператор персональных данных (заказчик) поручает другому оператору (сервис-провайдеру) хранение и обработку персональных данных субъектов.

Важно понимать, что, согласно 152-ФЗ, при такой схеме работы сервис-провайдер безусловно несет ответственность за сохранность данных, но с заказчика (первого оператора) никто ответственность не снимает, поэтому нужно очень внимательно подходить к выбору делового партнера.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152. Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные.

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Где безопаснее хранить персональные данные…

…в облаке или в своей IT-инфраструктуре?

Это очень популярный вопрос.

Безопасность информационных систем (ИС), работающих в облаке, обеспечивают те же аппаратные и программные средства, что и безопасность ИС в ШЕ-инфраструктуре крупного предприятия, владеющего собственным дата-центром и часто своим облаком в этом дата-центре. Такая техническая база обеспечивает максимальную безопасность, но стоит дорого. Для малых и средних компаний подобные технические решения часто неподъемны и по финансовым соображениям, и из-за нехватки специалистов необходимой квалификации.

В облаке стоимость обеспечения информационной безопасности распределяется на большое количество заказчиков. В итоге стоимость услуг несопоставима со стоимостью покупки аппаратных и программных средств для обеспечения такого же уровня безопасности.

Кроме того, на провайдера ложатся все задачи по своевременному обновлению средств информационной безопасности.

За возможные инциденты облачный провайдер несет финансовую ответственность перед заказчиками. Любой сбой или утечка информации тут же становятся известны на рынке, риски потерять клиентов очень высоки.

Будет ли провайдер иметь доступ к персональным данным, которые я храню?

Нет, провайдер не имеет доступа к персональным данным, которые принадлежат вашей компании.

Что в итоге?

Если вы планируете организовать хранение персональных данных с нуля и еще не успели погрузиться в проблему достаточно глубоко, мы рекомендуем обратиться к провайдеру хотя бы для первичной консультации, чтобы вам помогли правильно определить категорию персональных данных и уровень защиты, который требуется обеспечить.

Подводных камней множество, поэтому вам не помешает серьезная экспертиза. Вам вполне могут рассказать то, чего вы не знали, или предложат решение, которое может оказаться дешевле и проще, чем вы представляли.

Рекомендуем ставить задачу сразу перед несколькими провайдерами, а дальше смотреть на предложенные решения и конечную стоимость услуг.

Если вы уже давно обрабатываете персональные данные, но ваше решение не в полной мере соответствует закону, четко определите свой бюджет и условия работы и приходите к провайдеру с конкретным техническим заданием. Внимательно изучите договор-поручение, чтобы понимать, какие риски вы сможете впоследствии переадресовать провайдеру.

Материалы по теме:

Актуальные материалы — в Telegram-канале @Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Источник: https://rb.ru/opinion/personalnye-dannye/

8. Обязанности оператора при обработке персональных данных

Статья 18. Обязанностиоператора при сборе персональных данных

1.

При сбореперсональных данных оператор обязанпредоставить субъекту персональныхданных по его просьбе информацию,предусмотренную частью 4 статьи 14настоящего Федерального закона.

2. Если обязанностьпредоставления персональных данныхустановлена федеральным законом,оператор обязан разъяснить субъектуперсональных данных юридическиепоследствия отказа предоставить своиперсональные данные.

3.

Если персональныеданные были получены не от субъектаперсональных данных, за исключениемслучаев, если персональные данные былипредоставлены оператору на основаниифедерального закона или если персональныеданные являются общедоступными, оператордо начала обработки таких персональныхданных обязан предоставить субъектуперсональных данных следующую информацию:

1) наименование(фамилия, имя, отчество) и адрес оператораили его представителя;

2) цель обработкиперсональных данных и ее правовоеоснование;

3) предполагаемыепользователи персональных данных;

4) установленныенастоящим Федеральным законом правасубъекта персональных данных.

9. Меры по обеспечению безопасности персональных данных при их обработке

Статья 19. Мерыпо обеспечению безопасности персональныхданных при их обработке

1.

Оператор приобработке персональных данных обязанпринимать необходимые организационныеи технические меры, в том числе использоватьшифровальные (криптографические)средства, для защиты персональных данныхот неправомерного или случайного доступак ним, уничтожения, изменения, блокирования,копирования, распространения персональныхданных, а также от иных неправомерныхдействий.

2. ПравительствоРоссийской Федерации устанавливаеттребования к обеспечению безопасностиперсональных данных при их обработкев информационных системах персональныхданных, требования к материальнымносителям биометрических персональныхданных и технологиям хранения такихданных вне информационных системперсональных данных.

3.

Контроль и надзорза выполнением требований, установленныхПравительством Российской Федерациив соответствии с частью 2 настоящейстатьи, осуществляются федеральныморганом исполнительной власти,уполномоченным в области обеспечениябезопасности, и федеральным органомисполнительной власти, уполномоченнымв области противодействия техническимразведкам и технической защиты информации,в пределах их полномочий и без праваознакомления с персональными данными,обрабатываемыми в информационныхсистемах персональных данных.

4.

Использованиеи хранение биометрических персональныхданных вне информационных системперсональных данных могут осуществлятьсятолько на таких материальных носителяхинформации и с применением такойтехнологии ее хранения, которыеобеспечивают защиту этих данных отнеправомерного или случайного доступак ним, уничтожения, изменения, блокирования,копирования, распространения.

10. Уведомление об обработке персональных данных

Статья 22. Уведомлениеоб обработке персональных данных

1.

Оператор доначала обработки персональных данныхобязан уведомить уполномоченный органпо защите прав субъектов персональныхданных о своем намерении осуществлятьобработку персональных данных, заисключением случаев, предусмотренныхчастью 2 настоящей статьи.

2. Оператор вправеосуществлять без уведомленияуполномоченного органа по защите правсубъектов персональных данных обработкуперсональных данных:

1) относящихся ксубъектам персональных данных, которыхсвязывают с оператором трудовыеотношения;

2) полученныхоператором в связи с заключениемдоговора, стороной которого являетсясубъект персональных данных, еслиперсональные данные не распространяются,а также не предоставляются третьимлицам без согласия субъекта персональныхданных и используются операторомисключительно для исполнения указанногодоговора и заключения договоров ссубъектом персональных данных;

3) относящихся кчленам (участникам) общественногообъединения или религиозной организациии обрабатываемых соответствующимиобщественным объединением или религиознойорганизацией, действующими в соответствиис законодательством Российской Федерации,для достижения законных целей,предусмотренных их учредительнымидокументами, при условии, что персональныеданные не будут распространяться безсогласия в письменной форме субъектовперсональных данных;

4) являющихсяобщедоступными персональными данными;

5) включающих всебя только фамилии, имена и отчествасубъектов персональных данных;

6) необходимых вцелях однократного пропуска субъектаперсональных данных на территорию, накоторой находится оператор, или в иныханалогичных целях;

7) включенных винформационные системы персональныхданных, имеющие в соответствии сфедеральными законами статус федеральныхавтоматизированных информационныхсистем, а также в государственныеинформационные системы персональныхданных, созданные в целях защитыбезопасности государства и общественногопорядка;

обрабатываемыхбез использования средств автоматизациив соответствии с федеральными законамиили иными нормативными правовыми актамиРоссийской Федерации, устанавливающимитребования к обеспечению безопасностиперсональных данных при их обработкеи к соблюдению прав субъектов персональныхданных.

3.

Уведомление,предусмотренное частью 1 настоящейстатьи, должно быть направлено вписьменной форме и подписано уполномоченнымлицом или направлено в электроннойформе и подписано электронной цифровойподписью в соответствии с законодательствомРоссийской Федерации. Уведомлениедолжно содержать следующие сведения:

1) наименование(фамилия, имя, отчество), адрес оператора;

2) цель обработкиперсональных данных;

3) категорииперсональных данных;

4) категориисубъектов, персональные данные которыхобрабатываются;

5) правовое основаниеобработки персональных данных;

6) перечень действийс персональными данными, общее описаниеиспользуемых оператором способовобработки персональных данных;

7) описание мер,которые оператор обязуется осуществлятьпри обработке персональных данных, пообеспечению безопасности персональныхданных при их обработке;

дата началаобработки персональных данных;

9) срок или условиепрекращения обработки персональныхданных.

4.

Уполномоченныйорган по защите прав субъектов персональныхданных в течение тридцати дней с датыпоступления уведомления об обработкеперсональных данных вносит сведения,указанные в части 3 настоящей статьи, атакже сведения о дате направленияуказанного уведомления в реестроператоров. Сведения, содержащиеся вреестре операторов, за исключениемсведений о средствах обеспечениябезопасности персональных данных приих обработке, являются общедоступными.

5. На оператора немогут возлагаться расходы в связи срассмотрением уведомления об обработкеперсональных данных уполномоченныморганом по защите прав субъектовперсональных данных, а также в связи свнесением сведений в реестр операторов.

6. В случаепредоставления неполных или недостоверныхсведений, указанных в части 3 настоящейстатьи, уполномоченный орган по защитеправ субъектов персональных данныхвправе требовать от оператора уточненияпредоставленных сведений до их внесенияв реестр операторов.

7. В случае изменениясведений, указанных в части 3 настоящейстатьи, оператор обязан уведомить обизменениях уполномоченный орган позащите прав субъектов персональныхданных в течение десяти рабочих дней сдаты возникновения таких изменений.

11.Перечень мер, направленных на обеспечениевыполнения обязанностей, предусмотренныхФедеральным законом «О персональныхданных» и принятыми в соответствиис ним нормативными правовыми актами,операторами, являющимися государственнымиили муниципальными органами (постановлениеПравительства РФ от 21.03.2012 № 211)

Источник: https://StudFiles.net/preview/1771091/page:6/

Обработка персональных данных управляющими организациями

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся!(часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД.

Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер.

Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

5 шагов по организации учета и хранения персональных данных — статья

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• образование, профессия;
• изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
• финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

• в паспорте или ином документе, удостоверяющем личность;
• трудовой книжке;
• документах о воинском учете, образовании, составе семьи;
• справке о доходах с предыдущего места работы;
• анкете, заполняемой при трудоустройстве;
• личной карточке работника (форма Т-2);
• свидетельствах о заключении брака, рождении ребенка;
• медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных.

Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных).

Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

• цели получения персональных данных работника у третьего лица;
• предполагаемые источники информации (лица, у которых будут запрашиваться данные);
• способы получения данных, их характер;
• возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст.

10 Закона о персональных данных).

К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных).

А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст.

9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

1.  из документов (сведений), предъявляемых при заключении трудового договора;
2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных.

Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ).

Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

• заявления работников о согласии на обработку персональных данных;
• журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
• журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

• от всех ли работников получено согласие на обработку персональных данных;
• ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
• должным ли образом осуществляется хранение и защита персональных данных;
• соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1583

Обработка персональных данных — согласие работника, кто такой оператор и порядок обработки

В последние десятилетия информационные технологии развиваются очень стремительно. В связи с этим личные данные человека нуждаются в серьезной защите от возможного посягательства со стороны мошенников.

Для этого в России разработан и сегодня действует Закон «О персональных данных», имеющий своей целью законодательно регламентировать взаимоотношения в сфере передачи и использования личной информации о физических лицах.

Что такое персональные данные

Указанный термин подразумевает абсолютно любую информацию, имеющую отношение к конкретному физическому лицу. Законодательная защита личной информации — это самое важное условие полноценной реализации такого конституционных прав человека и гражданина в сфере частной жизни.

Дорогой читатель! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону.

Это быстро и бесплатно!

На уровне закона охраняются все сведения, имеющие отношение к физическому лицу прямо или опосредованно.

К этим сведениям относятся: фамилия, имя и отчество человека, адрес места проживания, день рождения, место рождения, контактный телефонный номер, адрес электронной почты, любые сведения относительно принадлежащих ему документов (серия и номер паспорта, данные страхового свидетельства и медицинского полиса, идентификационный номер налогоплательщика). Сюда же можно отнести любую информацию о состоянии его здоровья, семейном положении, расовой и этнической принадлежности, политических взглядов и религии, иные сведения.

Основные принципы обработки

Основополагающим правилом обработки личных данных человека является ее осуществление в четком соответствии с законодательными нормами. К иным не менее важным принципам можно отнести следующие:

• Целевой характер применения используемых личных данных. Неконтролируемая и нецелевая переработка информации личного характера незаконна. Запрещено соединение нескольких баз, содержащих данные различной целевой направленности. Работа с личными данными должна производиться ровно в том размере и объеме, какие необходимы для достижения соответствующей цели.
• Точность, достаточность передаваемой информации. Субъект, производящий обработку соответствующих сведений, обязано обеспечить их точность и актуальность, а в случае обнаружения любого несоответствия действительности, уточнить их либо удалить неверную информацию.
• Ограниченный определенными временными рамками срок хранения информации. Такой срок устанавливается законодательством либо оговаривается сторонами в договоре между ними. Если же срок хранения не регламентирован, он не может превышать разумную длительность для соответствующей цели. Когда установленный срок истекает, дальнейшее хранение данных не может осуществляться и они подлежат удалению.

Кто такой оператор

Данный термин объединяет в себе широкий перечень лиц, обладающих любым видом доступа к объекту обработки. Эти лица производят их передачу, хранение, определяют цель и объем их использования.

То есть абсолютно каждое лицо, которому по той или иной причине стали известны персональные данные можно назвать оператором. И все они обязаны соблюдать законодательные требования и принципы в данной области.

Операторами могут быть органы государственной власти, физические лица, организации любой формы собственности.

Каждый оператор прежде чем приступить к обрабатыванию личностных данных обязан уведомить о своем желании осуществлять такую деятельность Роскомнадзор. Территориальные подразделения Роскомнадзора ведут специальные реестры для обобщения информации.

Для чего нужна обработка личных данных

В современном мире персональные данные имеют особенно значимую ценность по многим причинам. Именно поэтому порядок работы с личными данными человека должен быть регламентирован на уровне закона.

Лица, имеющие доступ к персональным данным, обязаны использовать их в четком соответствии с требованиями законов РФ.

Несоблюдение этого важного правила может повлечь привлечение виновного лица к ответственности (административной, дисциплинарной или уголовной).

Согласие на передачу личных данных

Все мы сталкивались хоть раз с предложением подписания согласия на обработку персональных данных, заключая договоры, устраиваясь на работу, делая покупки в интернете и во многих других ситуациях. Такое согласие должно четко содержать намерение лица передать информацию личного характера оператору и согласие на ее переработку. Человек, давший такое согласие, вправе впоследствии его отменить.

В некоторых случаях согласие на обработку персональных данных может быть выражено только в письменном виде и закреплено личной подписью. К письменному согласию приравнивается по юридической силе согласие в электронной форме за цифровой подписью субъекта персональных данных.

Требования такого документа:

• сведения о правообладателе данных или его законном представителе, позволяющие надлежащим образом их идентифицировать;
• основная информация об операторе;
• перечисление точных сведений, входящих в состав персональных данных, цель обработки, конкретные действия и шаги, которые при этом будет реализовывать оператор;
• данные третьего лица, производящего обработку персональных данных по требованию оператора;
• длительность обработки;
• способы отмены данного ранее согласия;
• подпись человека, сообщающего данные о себе.

Условия для обработки данных

Использование личной информации, производимое в соответствии с законными принципами и в надлежащем порядке, допускается в определенных случаях:

• при наличии согласия человека, к которому данные относятся;
• во исполнение законодательства РФ и международных правовых актов, также исполнительного производства, во исполнение вступивших в силу судебных или иных подлежащих исполнению по закону актов уполномоченных органов власти;
• для выполнения условий договора или соглашения;
• с целью незамедлительных действий для защиты жизни, здоровья и личных интересов физического лица, реализации общественно значимых интересов;
• в статистических, научных и иных исследовательских целях, а также для реализации профессиональной деятельности работников СМИ;
• если осуществляется обработка общедоступной информации либо сведений, подлежащих раскрытию и опубликованию в соответствии с законодательством.

Ответственность перед физическим лицом, сведения о котором публикуются третьими лицами, несет сам оператор.

Условия передачи и хранения

Понятие использования личных данных физических лиц включает в себя широкий спектр любых манипуляций с персональными данными, в том числе их хранение, аккумуляцию и дальнейшую передачу и любые другие виды использования. Оператору необходимо всевозможными способами обеспечить защиту порученной ему информации от утери и ее незаконного использования сторонними лицами.

В данной деятельности используют как бумажные носители, так и электронные средства учета.

В каждой организации, выступающей в качестве оператора, должен быть разработан внутренний документ о хранении и обработке персональных данных, обычно он называется положением или правилами.

В нем указываются конкретные методы, используемые в данной организации, а также круг лиц, допущенных к обработке персональных данных, права и обязанности этих людей.

Права работников в вопросах обработки персональных данных

Операторы, осуществляющие любые виды деятельности с данными личного характера, должны руководствоваться в своей деятельности в том числе и трудовым законодательством.

Прежде всего, каждый работник организации вправе знать какие именно характеризующие его данные стали известны работодателю, а также иметь свободный и беспрепятственный доступ в любое время к этим данным.

Работник может затребовать от своего руководства корректировки неточностей и ошибок в персональных данных, их уточнения при необходимости, в том числе если функция обработки данных передана оператором третьим лицам. Сотрудник, кроме того, может назначить представителя для осуществления действий по защите своих личных данных в порядке, установленном в законе.

Если имело место нарушение или ущемление в любой форме прав работника, он вправе обратиться для защиты своих интересов в правоохранительные органы.

Таким образом, обработка, передача и хранение персональных данных физических лиц должна осуществляться в четком соответствии с нормами законодательства, нарушение которых может повлечь привлечение виновных лиц к ответственности, в том числе уголовной.

Источник: http://prostopozvonite.com/com/ooo/otchetnost/obrabotka-dannyx.html