Правовое обоснование и необходимость обработки персональных данных в организации

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Правовое обоснование и необходимость обработки персональных данных в организации». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Разнообразные нормативно-правовые акты предоставляют различные определения понятия «персональные данные сотрудника». Для того чтобы понять, что именно подразумевается, необходимо соотнести их разнообразные положения. Их законодательным основанием является закон «О персональных данных» и ряд норм, содержащихся в Конституции Российской Федерации.

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Задавайте вопросы в комментариях к статье и получите ответ специалиста

Поступая на работу, новый сотрудник предоставляет работодателю колоссальное количество личной информации. Частично это объясняется производственной необходимостью. Независимо от характера предоставляемых данных, они должны храниться должным образом и быть качественно защищены. Если этого не происходит и личная информация работников разглашается, то сотрудникам оказывается нанесен существенный ущерб (как их достоинству, так и личной безопасности). Поэтому важно подробнее рассмотреть понятие «персональные данные». Что к ним относится? Каким образом их необходимо хранить? Какие существуют методы защиты персональных данных? Кто регулирует процесс их хранения и обработки? Ответы на эти и некоторые другие вопросы будут предоставлены непосредственно в этой статье. Будьте максимально внимательны.

Правила хранения персональных данных

На каждом предприятии обязательно должны быть разработанный специальные правила, регламентирующие то, как хранятся и используются персональные данные сотрудников. Существует несколько вариантов того, как именно описанный документ может быть оформлен. Это может быть как отдельное положение, так и раздел, включенный в локальные Правила внутреннего распорядка. Каждый сотрудник имеет право принимать участие в процессе разработки и проведения мероприятий по защите персональных данных. Именно поэтому всех работников необходимо тщательно ознакомить с описанным документом.

Потребуется составить перечень персональных данных и список сотрудников, а также сформировать шаблон документа. Его должны подписать все, кто работает на предприятии.

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
   • сотрудников фирмы;
   • при заключении договоров;
   • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

   Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

   Чаще всего это:

   • регламент обработки данных;
   • правила компании по подбору персонала;
   • введение пропускного режима;
   • перечень мест хранения данных;
   • регламент уточнения, уничтожения ПДн.
6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
7. Утвердить перечень сотрудников, которые допущены к работе с информацией.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Использование рассматриваемых сведений необходимо для:

1. Ведения документов в отделе кадров.
2. Заключения договоров и выполнения других юридических действий.
3. В связи с выполнением требований налогового законодательства.
4. Других целей аналогичного рода.

При этом надо заметить, что:

• в каждом таком случае получение информации определяется нормативными актами;
• оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Кто в организации может быть ответственным за обработку персональных данных

Когда работодатель решает, кого в организации назначить ответственным за обработку персональных данных, нужно издать положение об охране данных, инструкцию и приказ.

Работодатель оперирует персональными данными своих сотрудников, клиентов и контрагентов. Это требует соблюдения норм закона.

Чтобы правила выполнялись, компания должна решить, кому поручить контроль обработки персональных данных и сделать ответственным за выполнение правил. читайте в журнале «Трудовые споры».

Закон требует, чтобы работу с данными людей в компании контролировал специальный сотрудник.

Потребуется выбрать сотрудника или группу и возложить на них дополнительные обязанности. Кто должен отвечать за организацию обработки персональных данных и как именно закрепить эти правила, компании решают по-разному.

Нужно опираться на положения законов и локальных нормативных актов:

• Нужно назначить лицо, ответственное за организацию обработки персональных данных, однако специальных требований к сотруднику нет (ст. 22.1 ).
• ТК РФ требует установить в организации порядок хранения и использования таких данных ().

Регламентируйте работу сотрудника, который возьмет на себя эти обязанности.

Разработайте специальную должностную инструкцию. Определите в ней порядок действий на тот или иной случай. Как правило, она раскрывает процесс участия в разработке, изменениях, утверждении соответствующих документов.

Внутренний документ возлагает на сотрудника ответственность за соблюдение законодательства, мониторинг изменений и требования по своевременному принятию мер. В инструкции также указывают:

1. ответственность лица, которое подчиняется установленным правилам;
2. порядок ее пересмотра и обновления;
3. ссылки на закон и акты компании.

Информация о файле Компания самостоятельно определяет, кто может быть ответственным за обработку персональных данных.

Организация может назначить секретаря (постановление Тюменского областного суда от 14.11.2017 № 4А-598/2017).

Чаще всего, такие обязанности берут на себя работники отдела кадров. Но можно поручить и другому сотруднику.

Сотрудник должен:

1. организовывать прием и обработку обращений и запросов владельцев данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов (ст. 22.1 закона № 152-ФЗ).
2. доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных, требований к их защите;
3. контролировать в организации соблюдение соответствующих законов, в том числе требований к защите такой информации;

Подробный перечень пропишите в инструкции.

Когда сотрудника выберут, издают приказ.

Документ готовит кадровый работник.

Ознакомьте ответственного с таким приказом под роспись. В документе укажите:

1. доплату к должностному окладу в связи с исполнением дополнительной обязанности.
2. правовые основания назначения (закон № 152-ФЗ, постановления Правительства РФ , );
3. должность, ФИО назначаемого лица;

Для чего формируется согласие на обработку при трудоустройстве

Фактически работодатель получает доступ к личным данным работника в момент ознакомления с резюме или анкетой, т. е. до официального трудоустройства. Следовательно, с этого момента работодатель может быть привлечен, согласно ст. 90 ТК РФ , к административной, дисциплинарной или уголовной ответственности в случае некорректного обращения с полученной информацией. Чтобы защитить интересы обеих сторон, сперва необходимо предоставить работнику для ознакомления образец заявления на разрешение обработки персональных данных. Соответствующий документ следует подписать до заключения трудового договора.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Что значит обработка?

Любой человек может ознакомиться с информацией об ином гражданине, как при выполнении , так и при нерабочем общении, в ходе просмотра интернет – страниц, а также чтения газеты. Этот (специальный или неспециальный) сбор информации не имеет отношения к обработке персональных данных: ознакомился, прочитал и забыл, скорее всего.

Если же личные данные специально собираются, чтобы их использовать и хранить, то такое действие уже означает обработку персональных данных. Данный процесс происходит чаще всего в учебных учреждениях и больницах: необходимая информация регистрируется, фиксируется в базах, а также классифицируется, чтобы потом ее использовать в законных целях .

Относится ли заработная плата к персональным данным читайте в нашей статье .

Если сведения собирает писатель или журналист, то он вправе обрабатывать личные данные в творческих целях.

Личная информация обрабатывается двумя способами: автоматизировано и неавтоматизировано.

Неавтоматизированной считается та обработка, которую производят с личным участием гражданина.

Если личные данные проходят обработку без средств автоматизации, то их необходимо отделять от прочих сведений. Можно это сделать путем их отметки, к примеру, на полях бланков. Строго не разрешается помещать на единый носитель личные данные , если известно заранее, что цели их обработки несовместимы.

Если личная информация граждан относится к разным категориям, то необходимо для каждого вида применять индивидуальный носитель.

Два следующих пункта ведут к ответу на вопрос, какие системы можно считать автоматизированными, а которые таковыми не являются. Рассмотрим их подробно:

• Личные данные, которые содержатся в системе персональных данных, могут считаться обработанными с помощью неавтоматизированного процесса, если их использование уничтожение производятся при личном присутствии гражданина.
• Нельзя подтвердить тот факт, что данные были автоматизировано обработаны, основываясь только на том, что они существуют в информационной системе персональной информации.

Автоматизированная обработка личных сведений – это обработка персональной информации с применением вычислительных средств.

Такая обработка может включать в себя некоторые процессы, которые производятся с помощью автоматизированных средств : применение математических операций с этими показателями, а также их корректировка и избавление от них.

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение персональных данных.

Похожие записи:

• Публичная кадастровая карта России (2023)
• Субсидии многодетным семьям на строительство дома в Московской области в 2024 году
• Какая пенсия будет в 2024 году у инвалида 1 группы