Какие цель обработки персональных данных

Способы обработки персональных данных

Защита персональных данных
с помощью DLP-системы

С овременный мир ограничивает право человека на защищенность информации о себе и своей частной жизни. Информация предоставляется во множестве случаев государственным организациям и коммерческим компаниям, и далеко не все из них обеспечивают ее конфиденциальность. Когда персональные данные человека поступают в распоряжение фирмы, признаваемой оператором ПДн, с ними могут происходить различные действия, информацию о которых человек получает, подписывая согласие на обработку. Средства и способы обработки персональных данных определяются федеральными законами.

Нормативно-правовое регулирование

В российском правовом поле термин «персональные данные» появился в начале 2000-х годов. Он был позаимствован из европейского и американского законодательства. Целью введения в национальное законодательство новой концепции стала защита информации о частной жизни человека, его здоровье, имуществе от посягательств злоумышленников.

Классификация действий с персональными данными

Закон «О персональных данных» называет несколько видов действий, которые могут производиться с поступившими в распоряжение организации персональными данными. Этот перечень ограничен и расширительному толкованию не подлежит. Таким образом, оператор ПДн может производить с ними следующие действия:

Способы обработки

Также в статье 3 закона «О персональных данных» четко определяет, что выделяются два способа обработки персональных данных:

  • с использованием средств автоматизации;
  • без них.

Такое же понимание можно найти в нормативных актах Роскомнадзора. Под автоматизированным способом обработки законодатель и ведомство понимают совершение любых действий с персональными данными, которые связаны с использованием средств вычислительной техники. Закон не раскрывает термин «средства вычислительной техники» конкретно, но очевидно, что под ними понимаются информационные системы. Для способа обработки персональных данных средствами автоматизации есть одно серьезное ограничение. Ни одно решение, на основании которого могут быть изменены права или обязанности гражданина, не может быть принято только исходя из результатов обработки сведений средствами вычислительной техники.

Соответственно, ручной способ обработки персональных данных – это занесение их на материальные носители вручную и дальнейшая работа с такими носителями. Закон в дальнейшем не конкретизирует особенности организации работы каждым способом, предоставляя это сделать ФСТЭК России. Ведомство, в свою очередь, определяет требования к автоматизированному способу обработки и используемым для него средствам. С точки зрения ручного способа действуют или общие принципы, или организационные меры, затрудняющие физический доступ к персональным данным путем разграничения функционала сотрудников. Так же работают требования по физической защите помещений.

Принципы обработки

Федеральный закон утверждает, что любая обработка персональных данных должна быть основана на определенных принципах, которых должен придерживаться каждый оператор. Среди них:

  • законность и справедливость – цели обработки персональных данных должны быть законными, все субъекты и операторы должны находиться в равных условиях;
  • конкретность – обработка персональных данных должна осуществляться только для достижения конкретных целей и задач, заранее определенных оператором. Не допускается обработка любыми способами, если она несовместима с провозглашенными целями;
  • недопущение избыточности – оператор должен обрабатывать только тот объем персональных данных, которые соответствуют назначенным целям. Недопустимо запрашивать у субъекта персональных данных избыточную информацию;
  • точность, достаточность и актуальность – все некорректные сведения должны удаляться или оператором самостоятельно или по заявлению субъекта, при изменении данных они должны своевременно актуализироваться;
  • минимальная идентификация – хранение ПДн в условиях использования средств автоматизации должно происходить таким образом, чтобы идентифицировать их субъекта можно было бы только строго определенное время и для решения определенных задач.

Условия обработки

Во избежание привлечения к административной ответственности необходимо придерживаться и установленных законодательством условий обработки персональных данных. Среди основных:

1. обработка персональных данных допускается тогда, когда человек выразил на это согласие и не отозвал его;

2. в отсутствие согласия обработка допускается в строго определенных законом случаях. Это такие ситуации, как возложение на оператора обязанностей по осуществлению деятельности, для которой необходима обработка персональных данных, или если этого требуют международные договоры или Федеральные законы Российской Федерации, действующие в значимых областях, например, в сфере защиты от терроризма. К этой же сфере регулирования относится ситуация, когда ПДн предоставляются государственным или федеральным органам власти для исполнения их установленных законом обязанностей;

3. она также допускается без согласия субъекта персональных данных при осуществлении любых судебных процессов, уголовных, гражданско-правовых, в сфере конституционного права, для разрешения споров или для исполнения судебного акта. Так, персональные данные граждан беспрепятственно предоставляются судебным приставам.

Частным, но не менее важным случаем обработки ПДн любыми средствами и способами без согласия субъекта будет ситуация, когда это необходимо для защиты жизни и здоровья человека. Допускается и обработка персональных данных в работе журналистов, если они не нарушают права лиц на тайну частной жизни или иные интересы. Отдельные нормы регулируют условия обработки персональных данных лиц, которые находятся под государственной охраной.

Способы обработки персональных данных государственными и муниципальными органами

Закон о персональных данных устанавливает дополнительные требования к способам и методам их обработки для государственных или муниципальных органов. Так, для них могут быть установлены определенные способы обезличивания, затрудняющие определение принадлежности информации тому или иному лицу. Также для них установлено ограничение на любое использование ПДн или обозначение их принадлежности такими способами, которые могли бы оскорбить чувства конкретных лиц или социальных групп. Ни один способ обработки данных государственными органами и учреждениями не должен ограничить права человека.

Любой оператор, будь то частная фирма или государственная организация, определяя, каким способом он будет обрабатывать предоставленные ему персональные данные, должен строго придерживаться установленных законом принципов. Это позволит избежать и неправомерного использования сведений, и привлечения оператора к ответственности.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/sposoby-obrabotki-personalnykh-dannykh/

Какие цель обработки персональных данных

Памятка для образовательных учреждений по актуальным проблемам обработки персональных данных

ПАМЯТКА

ДЛЯ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЙ ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Читайте так же:  Выплаты по мировому соглашению ндфл

1. Правовые основания размещения ПД.

В настоящее время в Российской Федерации вопросы, связанные с защитой прав и свобод несовершеннолетних при обработке их персональных данных, в том числе и защиты прав на неприкосновенность частной жизни, личную и семейную тайну, регулируются:

— Конституцией Российской Федерации от 12 декабря 1993 г.;

— Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Центральное место в системе российского законодательства в области персональных данных занимает Федеральный закон «О персональных данных», основанный на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну.

Данный закон закрепил статус и полномочия российского уполномоченного органа, условия осуществления государственного контроля и надзора, унифицировал правила сбора и обработки персональных данных физических лиц, а также правовые, организационные и технические меры, направленные на обеспечение защиты прав граждан при сборе и обработке их персональных данных. В Федеральном законе закреплены все общепризнанные Европейским сообществом принципы обработки персональных данных.

Кроме того, во исполнение отдельных положений Федерального закона «О персональных данных» был принят ряд подзаконных нормативных правовых актов:

— Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Форма согласия на обработку персональных данных (ПДн).

Обработка персональных данных осуществляется только с согласия субъекта персональных данных. В связи с тем, что в образовательном учреждении осуществляется обработка специальной категории ПДн (состояние здоровья учащихся), согласие субъекта персональных данных оформляется в письменной форме Письменное согласие субъекта персональных данных, на обработку своих персональных данных должно соответствовать требованиям ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

В соответствии с нормами данной статьи, согласие в письменной форме субъекта персональных данных, на обработку его персональных данных должно включать в себя, в частности:

Примечание! Особое внимание следует обратить на заполнение графы, содержащей сведения о документе, подтверждающем полномочия родителя (законного представителя) несовершеннолетнего.

3. Обязательные документы на сайте образовательного учреждения.

Во исполнение требований ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Оператор обязан издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушении законодательства Российской Федерации, устранение последствий таких нарушений.

Оператор также обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

4.Типичные нарушения, допускаемые образовательными учреждениями при обработке персональных данных обучающихся и их законных представителей.

  1. Размещение фото и видеоизображений на официальных сайтах образовательных учреждений без согласия законных представителей субъектов персональных данных.
  2. Несоответствие письменных согласий субъектов персональных данных на обработку персональных данных требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  3. Несообщение Оператором об изменении сведений, либо сообщение недостоверных сведений и, как следствие, в Реестре операторов персональных данных будут содержаться неактуальные сведения.

Оператору необходимо направить Информационное письмо о внесении изменений в сведения об операторе в Реестр в бумажном виде с подписью руководителя или иного уполномоченного лица и печатью организации по форме, предусмотренной Методическими рекомендациями по уведомлению уполномоченного органа о начале обработке персональных данных и о внесении изменений в ранее представленные сведения, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.05.2017 № 94 (Приложение № 2 к Методическим рекомендациям). Либо Оператор вправе заполнить электронную форму заявления на Интернет-сайте Роскомнадзора, путем перехода по Интернет-ссылке https :// rkn . gov . ru / personal data / forms / p 333/.

После заполнения электронной формы, Оператору необходимо распечатать файл Информационного письма, поставить подпись руководителя или иного уполномоченного лица, печать организации и направить в адрес Управления Роскомнадзора по Сибирскому федеральному округу почтовой связью.

4. Отсутствие согласия субъекта персональных данных при поручении обработки персональных данных учащихся образовательных учреждений третьим лицам при ведении электронных дневников.

5. Поручение обработки персональных данных учащихся образовательных учреждений третьим лицам в нарушение требований ч. 3 ст. 6 Закона о персональных данных.

Время публикации: 14.06.2017 11:18
Последнее изменение: 01.11.2017 18:11

Источник: http://54.rkn.gov.ru/protection/p21770/

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Читайте так же:  Обжалование решения по упрощенному производству арбитражного суда

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

С первыми позициями никаких проблем быть не должно. Выбираем территориальное управление Роскомнадзора, в которое должно быть отправлено уведомление. Затем выбираем тип оператора. Вводим полное и сокращенное наименование оператора в соответствии с учредительными документами. Указываем фактический и юридический адреса организации. Выбираем регион (или регионы), в которых организация осуществляет свою деятельность. Заполняем реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.

Здесь вроде все просто и понятно, а вот со следующими полями уже могут быть вопросы.

В графе «Правовое основание обработки персональных данных» можно указывать все нормативно-правовые и внутренние документы, которые так или иначе могут быть связаны с обработкой ПДн. Начинают обычно со 152-ФЗ и ТК РФ, продолжают законодательством, относящимся к сфере деятельности организации (например, если это медицинское учреждение, то пишем сюда же 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и другие нормативные акты, как федерального, так и регионального масштаба, относящиеся к здравоохранению) и заканчивают уставом предприятия.

Графа «Цель обработки персональных данных» является одной из самых коварных. Заполняя это поле нужно не забывать, что часть 2 статьи 5 Федерального закона «О персональных данных» говорит нам о том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Приведем один пример, как делать не нужно.

Некоторые работодатели, приглашая к себе на собеседование кандидата на вакантную должность, просят заполнить анкету, в которой, в том числе, просят внести свои паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Так как цель обработки персональных данных – подбор кандидата на вакантную должность и попробуйте придумать правдоподобное обоснование, зачем для этого нужны паспортные данные. Стаж работы? Да. Сведения об образовании? Да. Возраст? А вот тут уже дискриминацией попахивает, но мы же не собираемся эксплуатировать детский труд. А вот паспортные данные для подбора персонала не нужны.

Нет, мы не такие наивные и понимаем, что зачастую паспортные данные кандидата нужны работодателю, чтобы «пробить» кандидата, например на закредитованность или на участие в других неприятных историях. Но еще раз – с точки зрения закона так делать нельзя.

Вернемся к заполнению поля «Цель обработки персональных данных». Здесь мы должны корректно и адекватно сформулировать эти цели. А адекватно чему? Адекватно перечню категорий персональных данных, которые мы будем заполнять далее. Ведь мы же не хотим, чтобы уже перед проверкой у РКН на основании нашего уведомления были причины для выписки предписания? Тут у нас рисуется замкнутый круг – напишем, что обрабатываем паспортные данные соискателей, накажут за нарушение законодательства о персональных данных, скажем, что «паспортные данные» случайно попали в уведомление, напишут в протоколе проверки «указаны неполные/недостоверные сведения в уведомлении оператора персональных данных».

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

Следующий раздел один из самых сложных и непонятных. Роскомнадзор хочет, чтобы мы описали принятые меры, предусмотренные статьями 18.1 и 19 закона «О персональных данных». Но на деле этот раздел один из самых простых, просто берем положения указанных статей закона и пишем, что все это у нас выполнено. У нас же выполнено – правда?

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Видео (кликните для воспроизведения).

Дата начала обработки ПДн обычно совпадает с датой основания компании (регистрации).
В следующем пункте обычно выбирается «Условие окончания обработки ПДн» и в качестве условия указывается «Прекращение деятельности организации».

В разделе «Категории персональных данных» сначала отмечаем чекбоксами обрабатываемые категории, а потом в поле «Другие категории персональных данных, не указанные в данном перечне» указываем те ПДн, которых в списке нет, причем лучше это сделать раздельно для различных категорий субъектов, например: «Другие категории ПДн работников: [перечень ПДн работников]. Другие категории ПДн клиентов: [перечень ПДн клиентов]».

В разделе «Категории субъектов, персональные данные которых обрабатываются» указываем перечень категорий лиц, чьи данные у нас хранятся или обрабатываются, например: «Сотрудникам, соискателям на вакантные должности, контрагентам, клиентам». Обратите внимание, что в названии поля добавляется пояснение, указывающее в каком падеже должны быть указаны сведения.

В поле «Перечень действий с персональными данными» проще всего процитировать определение обработки ПДн из 152-ФЗ: «сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение». Естественно, действия, которые не актуальны для вашей организации (например, обезличивание) нужно убрать из этого списка. И не забываем про падеж.

Далее указываем способ обработки ПДн, обычно это «смешанная, с передачей по внутренней сети юридического лица, с передачей по сети Интернет».

Затем от нас хотят узнать, передаем ли мы ПДн за границу. Если нет, то декларируем отсутствие трансграничной передачи. Если да, придется еще и указать все страны, в которые передаются данные.

Читайте так же:  Комендантский час для детей закон

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

Следующий раздел формы появился с 1 сентября 2015 года. Всем, кто заполнял уведомление давно, необходимо внести в него изменения и дополнить его данными о ЦОДе. Да, не удивляйтесь, локальная база 1С-Бухгалтерии, развернутая на компьютере главбуха это в понимании Роскомнадзора тоже ЦОД…

Выбираем страну, в которой располагается наш «ЦОД» и указываем его адрес. Дальше снужно указать является ли «ЦОД» нашей собственностью или нет и если нет, то указать данные владельца площадки. Если у вас несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно. Даже если речь идет об одной единственной серверной.

Далее заполняем данные человека, которого на предприятии назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны всем желающим в реестре операторов ПДн. Имейте это ввиду и, конечно же, лучше предупредить об этом назначаемого человека.

В самом конце указываем данные исполнителя. Исполнитель, это лицо, заполнявшее это уведомление. Это может быть не ответственный, а совсем другой человек. Но, как мы видим, поля эти тоже не обязательные, поэтому, видимо, если исполнителя не указывать, то им автоматически становится ответственный.

Затем ставим галочки «на все согласен», вводим капчу и жмем большую кнопку «Отправить электронное уведомление и подготовить форму к распечатке». Затем форму необходимо распечатать, подписать, поставить печать организации (если есть) и отправить аналоговой почтой в свое управление Роскомнадзора. Через некоторое время, ваши данные внесут в реестр.

Источник: http://habr.com/post/454690/

Политика обработки персональных данных в организации

Одной из основных задач, которая встает перед работодателями в целом и сотрудниками кадрового отдела в частности, является формирование политики обработки персональных данных в организации. Правильное ее оформление необходимо для соблюдения требований законодательства, ведь их нарушение может повлечь за собой негативные последствия вплоть до дисциплинарной, административной и уголовной ответственности. Поможет составить правильную с документарной точки зрения политику обработки персональных данных в организации образец.

Политика обработки персональных данных в организации — что это, зачем нужна

Под политикой обработки персональных данных в организации чаще всего подразумевается непосредственно локальный нормативный акт, который регламентирует все вопросы, связанные с использованием личных сведений трудящихся, а также иных лиц, так или иначе имеющих взаимоотношение с рассматриваемым субъектом хозяйствования. Российское и международное законодательство защищают личные сведения человека и поэтому в отношении их обработки устанавливаются определенные требования и ограничения.

Персональными данными же в российском законодательстве именуется любая информация, которая может предоставлять сведения о конкретном физическом лице и сопоставлена с ним. Так, таковой считаются фотографии человека, его паспортные данные, сведения о месте жительства, телефонные номера, биометрические данные и другие. Каждая организация обязана соблюдать требования законодательства и обеспечивать проведение обработки исключительно в соответствии с ним и, при необходимости — только по предоставлению лицом, к которому относятся данные или его представителем информированного согласия.

В частности, во многих случаях политике обработки персональных данных, как документу, может быть тождественно положение о защите персональных данных, принимаемое в качестве локального нормативного акта. Однако в некоторых случаях практикуется иной подход — под политикой подразумевается принятый на предприятии подход по работе с персональными данными клиентов и контрагентов, а положение касается исключительно сотрудников. Но эти вопросы не регламентированы законодательством прямо и конкретное наименование локального нормативного акта, а также сфера действия на которую он распространяется, и большая часть его фактического содержания устанавливаются самим работодателем.

Кроме этого, под политикой обработки персональных данных может подразумеваться и более широкая сфера деятельности, чем просто конкретный документ. Так, политикой в целом называется комплекс регламентированных мероприятий по проведению обработки персональных данных и отношение к нему работодателя и его сотрудников. Кроме этого, политика может устанавливаться и в качестве общих ценностей организации, а не просто нормативного документа.

Законы и нормативы о политике обработки персональных данных

С точки зрения российского законодательства, вопросы, напрямую связанные с политикой обработки персональных данных, рассматриваются рядом юридически значимых документов федерального уровня. В частности, основными из них можно назвать следующие нормативно-правовые акты:

Статья 81 Трудового кодекса, в которой рассматривается возможность увольнения работника за нарушение политики обработки персональных данных клиентов и других сотрудников и их незаконную передачу либо разглашение.

  • Статья 86 Трудового кодекса регламентирует в целом порядок и принципы обеспечения безопасности личной информации сотрудников компании.
  • Статья 87 Трудового кодекса посвящена вопросам, связанным с хранением личных данных работников во время осуществления трудовых взаимоотношений.
  • Статья 88 Трудового кодекса регулирует вопросы, связанные с передачей сведений личного характера, которые относятся к личным данным трудящихся.
  • Статья 89 Трудового кодекса устанавливает общие права трудящихся в отношении их персональных сведений.
  • Статья 90 Трудового кодекса рассматривает вопросы несения ответственности за нарушение законодательства в вопросах обработки персональных данных.
  • ФЗ №152 от 27.07.2006 — это главенствующий документ федерального уровня, в котором закрепляются основные принципы государственного регулирования большинства вопросов, прямо или косвенно связанных с персональными данными и их фактической обработкой в рамках различных видов взаимоотношений.

    Как составить политику обработки персональных данных в организации — образец

    Чтобы составить политику обработки персональных данных, работодателю необходимо решить несколько основных вопросов. В первую очередь, политика должны быть определена в целом, как комплекс идей и практических мероприятий по их реализации. Существуют различные подходы к политике работы с персональными данными, например, предусматривающие получение максимально полного предварительного согласия на широкую обработку личных сведений, или же напротив — предусматривающие исключительно целевую обработку отдельных видов данных с регулярным получением информированного согласия по каждому конкретному случаю обработки.

    Читайте так же:  Статус судебного разбирательства

    Вне зависимости от выбранного подхода, рекомендуется закрепить политику работы с личными сведениями в качестве полноценного внутреннего документа предприятия. Данный документ должен рассматривать в своих положениях непосредственно все виды обработки информации, порядок и принципы ее передачи третьим лицам, мероприятия по ведению хранения и учета, а также защите сведений, принципы их удаления и уничтожения, а также критерии получения согласия лица, к которому относится рассматриваемая информация.

    Источник: http://delatdelo.com/organizaciya-biznesa/politika-obrabotki-personalnyh-dannyh-v-organizatsii.html

    Цели обработки персональных данных в организации

    Российским законодательством достаточно четко регламентируются вопросы установления целей обработки персональных данных в организации. При этом на работодателей и сотрудников предприятия возлагаются определенные обязанности, напрямую связанные с вопросами обработки личной информации других трудящихся или третьих лиц, несоблюдение которых может привести к негативным последствиям для субъекта хозяйствования, вплоть до привлечения виновных к дисциплинарной, гражданской, административной и уголовной ответственности.

    Цель обработки персональных данных в организации — правовое регулирование

    С точки зрения российского законодательства, с целью соблюдения требований Конституции РФ, а также международных нормативно-правовых актов, в которых участвует Российская Федерация, личная информация граждан и иностранцев, должна быть защищена от незаконных операций с ней. В вопросах трудовых взаимоотношений ключевое значение для определения действующих юридических нормативов, затрагивающих любые виды операций с личными сведениями, имеют следующие положения нормативно-правовых документов и актов:

    • ФЗ №152 от 27.07.2006. Данным законом регламентируются основные общие принципы обращения с информацией, составляющей личные сведения о любом человеке, в том числе и в вопросах осуществления трудовых взаимоотношений, но не ограничиваясь ими.
    • Ст.81 регламентирует принципы увольнения сотрудников по инициативе работодателя, в том числе и за грубые дисциплинарные нарушения, к которым можно отнести разглашение персональных данных трудящимся.
    • Ст.86 обеспечивает регулирование общих принципов обеспечения защиты личной информации работников.
    • Ст.87 посвящена нормативам использования и хранения рассматриваемых данных в рамках трудовых взаимоотношений.
    • Ст.88 устанавливает принципы, по которым может осуществляться передача личной информации при ведении трудовой деятельности.
    • Ст.89 посвящена основным правам трудящихся касательно сведений, относимых к персональным.
    • Ст.90 регламентирует ответственность за нарушение установленного законом порядка работы с личными данными.

    Общие цели обработки персональных данных сотрудников в организации

    Вне зависимости от конкретных принципов, которые могут быть установлены в компании, каждый работодатель в обязательном порядке преследует общие для трудовых взаимоотношений цели при обработке персональных данных в организации. К таковым общим целям можно отнести:

    Документальное оформление трудовых взаимоотношений в соответствии с требованиями законодательства. При заключении трудового договора, работодатель получает доступ и проводит обработку персональных данных соискателя в любом случае. Поэтому таковая цель обработки личной информации является одной из основных.

  • Ведение кадрового делопроизводства и учета на предприятии. Каждый работодатель обеспечивает хранение трудовых книжек работников, их личных карточек или же личных дел и внесение изменений в означенные документы.
  • Налогообложение и уплата страховых сборов. В Российской Федерации именно на работодателей возлагается обязанность по уплате налогов за своих трудящихся и страховых сборов в систему пенсионного и социального страхования.
  • Выполнение иных действий, связанных с исполнением требований законодательства в отношении учета, сбора и передачи информации, которая может включать в себя и личные сведения трудящихся.
  • Исполнение требований уполномоченных органов, например, правоохранителей, когда они требуют доступ к личной информации сотрудника.
  • Во всех вышеозначенных ситуациях обработке подлежат общедоступные данные работника, которые непосредственно необходимы для решения соответствующих вопросов. При этом истребовать согласие сотрудника на обработку означенных данных нет необходимости — само желание его заключить трудовой договор свидетельствует о подобном согласии. В отношении биометрических и иных личных сведений согласие работника не требуется только при обращении уполномоченных органов.

    Другие возможные цели обработки персональных данных трудящегося

    Личные сведения могут собираться работодателями не только в целях исполнения прямых требований российского законодательства, но и для решения других задач. В частности, работодатель может самостоятельно регламентировать порядок и принципы обработки информации о трудящихся. Он обязан лишь ознакомить потенциальных сотрудников с таковым порядком. Например, личные данные могут собираться и использоваться для оформления служебных удостоверений. Также в рамках учета рабочего времени может использоваться сбор сведений о сотрудниках и их затратах рабочего времени в рамках хронометража или использования автоматизированных систем учета.

    Помимо этого, работодатель также может затребовать от работников доступ к их биометрическим данным. Например — также для обеспечения работы систем пропуска. Или же — для изготовления рабочей униформы или средств индивидуальной защиты.

    Во всех вышеозначенных ситуациях работодатель обязан прежде, чем проводить обработку сведений трудящегося, получить согласие на такие действия. При этом если соискатель отказывается от дачи такового, работодатель вправе не заключать с ним трудовой договор. Однако, все сведения, обрабатываемые и собираемые работодателем, должны использоваться исключительно в соответствии с установленными локальными нормативными актами и только в объемах, необходимых для решения поставленных задач.

    Источник: http://delatdelo.com/organizaciya-biznesa/tseli-obrabotki-personalnyh-dannyh-v-organizatsii.html

    Политика обработки персональных данных: как составить документ

    Разрабатывая Политику обработки персональных данных, обязательно пропишите в документе шесть компонентов.

    1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

    Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц. Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

    Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

    Структура Политики обработки персональных данных

    Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

    • Общие положения
    • Цели сбора персональных данных
    • Правовые основания обработки персональных данных
    • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
    • Порядок и условия обработки персональных данных
    • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
    Читайте так же:  Судебные экспертизы в стадии судебного разбирательства лекции

    1. Общие цели

    В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

    2. Цели сбора персональных данных

    Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

    Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

    • из анализа правовых актов, регламентирующих деятельность оператора;
    • из целей фактически осуществляемой оператором деятельности;
    • из деятельности, которая предусмотрена учредительными документами оператора;
    • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

    3. Правовые основания обработки персональных данных

    Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

    Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

    4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

    Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.

    К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

    Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

    Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

    5. Порядок и условия обработки персональных данных

    Что указывается в этом разделе:

    • перечень действий, совершаемых с персональными данными;
    • способы обработки персональных данных;
    • сроки обработки персональных данных.

    Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

    • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
    • указать наименование и местонахождение третьих лиц;
    • обозначить цели передачи данных и их объем;
    • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

    Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

    В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

    Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

    Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ. В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки. В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

    6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

    Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

    Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

    На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу.

    Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

    Размещение Политики обработки персональных данных в офисе и на сайте

    Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

    Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

    Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!

    Видео (кликните для воспроизведения).

    Источник: http://kontur.ru/articles/4871

    Какие цель обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here