Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Организация обработки персональных данных в организации». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ.
Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации.
Штрафные санкции за невыполнение требований по защите ПДн в разных странах
Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п.
Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.
Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.
Как видим, определение, которое нам дает ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», достаточное расплывчатое и не дает ясного представления, что же попадает под персональные данные.
Основные нормативные документы, касающиеся обработки персональных данных
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности.
В своей работе организация должна использовать три вида документов по защите персональных данных. К ним относятся: организационные, технологические и методические.
Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»).
Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной.
Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных.
Между тем, Роскомнадзор дает простую рекомендацию по определению персональных данных:
- во-первых, если по набору представленных сведений удается определить лицо без предоставления иных идентификаторов или документов, значит мы имеем дело с персональными данными
- во-вторых, если для отнесения сведений к конкретному человеку требуется дополнительная информация, такие сведения нельзя считать персональными.
За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.
Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.
Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.
Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.
В данной ситуации вам необходимо проверить согласие, которое подписал работник на обработку его персональных данных на их передачу третьим лицам, чтобы в нем было указано название банка, его местонахождение, цель передачи персональных данных, перечень передаваемых персональных данный и перечень действий с ними.
Организация защиты персональных данных работников
Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.
Там же указано, кто обязан принимать меры по защите персональных данных. Это и государственные органы, и юридические и физические лица, которые обрабатывают персональные данные, с использованием средств автоматизации или без них, если обработка персональных данных позволяет осуществлять поиск персональных данных.
Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.
Персональные данные: законодательное определение
На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.
Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных.
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки.
Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача).
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Рекомендации кадровикам по работе с персональными данными работников
Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.
В качестве назначения Политики можно указать: «Защита прав субъектов персональных данных (работников, клиентов и т. д.) при их обработке».
Между тем, технологическая документация по защите данных в любой компании отражает систему защиты персональных данных о работниках. К ним относят: перечни, инструкции по обработке и защите персональных данных.
В этом разделе рекомендуется описать назначение Политики и привести основные понятия, используемые в ней (например, такие как «обработка персональных данных», «объект персональных данных», «субъект персональных данных»), перечислить основные права и обязанности организации и субъектов персональных данных.
Требования к внутренним документам по персональным данным
У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.
Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).
В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) указано, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Как видите, конкретного перечня нет, достаточно, чтобы такая информация позволяла определить, к какому лицу она относится.
Каждый оператор персональных данных (ПД), то есть каждая организация, обязан издать документ, определяющий его политику в отношении обработки персональных данных (далее — Политика). Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.