Перечень мест хранения персональных данных

Содержание

Приложение 1. Перечень мест хранения материальных носителей персональных данных и ответственных лиц

министерства физической культуры

и спорта Ставропольского края

от 7 марта 2013 г. N 238/01-01

Перечень
мест хранения материальных носителей персональных данных и ответственных лиц

Категория персональных данных

Ответственное лицо (должность, фамилия и инициалы)

Бумажные носители персональных данных (трудовая книжка;

журналы учета трудовых книжек;

журнал учета командировок;

материалы по учету рабочего времени;

журналы сверки по военнообязанным;

приказы по личному составу)

специально отведенный железный сейф в кабинете N 22

консультант-юрисконсульт сектора правового и кадрового обеспечения министерства Григорьева Н.В.

Электронные носители персональных данных

жесткий диск, съемный носитель

консультант-юрисконсульт сектора правового и кадрового обеспечения министерства Григорьева Н.В.,

главный специалист сектора правового и кадрового обеспечения министерства Котлярова Я.А.,

консультант отдела организационной и физкультурно-массовой работы министерства Походенко Г.И.,

главный специалист сектора бухгалтерского учета, отчетности и контроля министерства Тарасова С.В.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/27137515/53f89421bbdaf741eb2d1ecc4ddb4c33/

Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных (подготовлено экспертами компании «Гарант»)

Приказ
об утверждении мест хранения материальных носителей персональных данных

г. [ место издания приказа ]

[ число, месяц, год ]

В целях обеспечения режима конфиденциальности при работе с материальными носителями персональных данных в [наименование организации] и в соответствии с требованиями Положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. N 687, приказываю:

1. Утвердить следующие места хранения материальных носителей персональных данных и назначить ответственными за обеспечение сохранности материальных носителей следующих лиц:

Категория персональных данных

[ Бумажные носители персональных данных/электронные носители персональных данных ]

[ сейф/жесткий диск/съемный носитель и др. ]

[ должность, фамилия и инициалы ]

2. Хранить материальные носители персональных данных только в утвержденных местах.

3. Ознакомить под роспись лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

4. Контроль за исполнением настоящего приказа возложить на [ должность, инициалы, фамилия ].

Руководитель организации [ подпись, инициалы, фамилия ]

С приказом ознакомлены:

[ должность, подпись, инициалы, фамилия ]

[ число, месяц, год ]

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных

Разработана: Компания «Гарант», май 2015 г.

Источник: http://base.garant.ru/55727569/

Приложение N 4. Список мест хранения материальных носителей персональных данных

Физическое место расположения

Должность допущенного должностного лица

Кому принадлежат персональные данные

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/27965448/172a6d689833ce3e42dc0a8a7b3cddf9/

Департамент общественных и внешних связей Ханты-Мансийского автономного округа – Югры

Об утверждении мест хранения материальных носителей

«18» ноября 2014 г. № 318

С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа — Югры в соответствии с требованиями Закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»

1.Утвердить Список мест хранения материальных носителей персональных данных в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры согласно приложению к настоящему приказу.

2.Контроль за исполнением настоящего приказа возложить на заместителя директора Департамента Бурычкина О.И.

Директор Департамента И.А. Верховский

Приложение к приказу

и внешних связей ХМАО-Югры

от 18.11.2014 № 318

хранения материальных носителей персональных данных в

Департаменте общественных и внешних связей

Ханты-Мансийского автономного округа — Югры

Источник: http://depos.admhmao.ru/dokumenty/prik/223638/

10 ошибок при работе с персональными данными: к чему придерется Роскомнадзор

Роскомнадзор проверяет, как работодатели соблюдают правила обработки персональных данных. Расскажем о 10 нарушениях, которые выявляют чаще всего. Пока не выписали штраф или предписание, проверьте, все ли требования вы соблюдаете.

Ошибка № 1. Не разработали и не опубликовали политику обработки персональных данных

Что нужно сделать. Не только разработать политику обработки данных, но и опубликовать ее на сайте или другим способом обеспечить неограниченный доступ к документу (ч. 2 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Разработайте политику или актуализируйте ту, что у вас есть, по Рекомендациям Роскомнадзора от 27.07.2017. Важно: не копируйте готовые формулировки, а отобразите в документе особенности именно вашей компании. За нарушение грозит штраф до 30 000 руб. (ч. 3 ст. 13.11 КоАП РФ).

Читайте так же:  Обжалование судебного приказа арбитражного суда образец

Ошибка № 2. Не назначили ответственного за обработку персональных данных

Что нужно сделать. Назначить одного сотрудника, который будет отвечать за обработку персональных данных. Ответственный должен подчиняться непосредственно генеральному директору и у него должны быть полномочия давать указания руководителям подразделений (ч.2 ст. 22.1 ФЗ от 27.07.2006 № 152-ФЗ).

Ошибка № 3. Не утвердили перечень лиц, которые имеют доступ к персональным данным

Что нужно сделать. С помощью приказа утвердите перечень сотрудников, которым может понадобиться доступ к персональным данным в связи с их должностными обязанностями. Получать они должны только те данные, которые им нужны в работе (ст. 88 ТК РФ). В приказе можно указать ФИО, должности конкретных сотрудников, структурное подразделение или перечень должностей и структурное подразделение.

Ошибка № 4. Собираете и храните лишние документы

Что нужно сделать. Проверьте личные дела сотрудников – в них не должно быть лишних документов (ч. 5 ст. 5 ФЗ от 27.07.2006 № 152-ФЗ). Для этого воспользуйтесь чек-листом.

Как только вы оформили кадровые документы, предоставили сотруднику гарантии и компенсации и выполнили другие необходимые действия и процедуры, персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте. Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не нужны, компанию могут оштрафовать до 50 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ).

Ошибка № 5. Не проводите внутренний аудит работы с персональными данными

Что нужно сделать. Разработайте процедуру внутреннего контроля или аудита и периодически его проводите (п. 4 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Для этого создайте комиссию, которая будет анализировать документы, изучать процессы обработки персональных данных и давать рекомендации по их защите.

Ошибка № 6. Не знакомите работников под подпись с законом о персональных данных

Что нужно сделать. Оформите лист ознакомления работников с положениями законодательства о персональных данных и внутренними документами по вопросам обработки персональных данных (п. 6 ч. 1 ст. 18.1 ФЗ от 27.07.2006 № 152-ФЗ). Другой вариант — включите положения в трудовой договор с работником.

Ошибка № 7. Не уведомили Роскомнадзор или неправильно заполнили уведомление об обработке персональных данных

Что нужно сделать. Ваша задача – уведомить территориальный орган Роскомнадзора о том, что будете обрабатывать персональные данные. Для этого используйте Методические рекомендации Роскомнадзора, утв. приказом от 30.05.2017 № 94. Роскомнадзор предупреждает: не берите готовые шаблоны из интернета, они могут быть ошибочными.

Ошибка № 8. Не сообщили в Роскомнадзор об изменении сведений, которые указали в уведомлении об обработке персональных данных

Что нужно сделать. Если изменили сведения, которые указывали в уведомлении, направьте в 10-дневный срок в Роскомнадзор информационное письмо. Форма информационного письма есть в Приложении № 2 к Рекомендациям № 94. Заполните те поля, в которых меняются сведения.

Ошибка № 9. Не утвердили перечень мест хранения персональных данных

Что нужно сделать. Издайте приказ, которым утвердите перечень мест хранения материальных носителей персональных данных – журналов, личных дел и т.д. (п. 13 Положения, утв. постановлением Правительства РФ от 15.09.2008 № 687). Во всех кабинетах, где обрабатываете персональные данные на бумаге, определите места хранения — например, сейфы. Местом хранения может быть и само помещение, к примеру, архив организации.

Ошибка № 10. Используете неверный бланк согласия на обработку персональных данных

Что нужно сделать. Согласие на обработку персональных данных должно включать все обязательные реквизиты, которые предусматривает закон (ч. 4 ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). За некорректную форму согласия предусмотрен штраф до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Согласие на обработку персональных данных должно содержать:

1. ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, обрабатывающего персональные данные по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Образцы необходимых документов и более подробные разъяснения смотрите в презентации Роскомнадзора.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.


Источник: http://vc.ru/legal/81210-10-oshibok-pri-rabote-s-personalnymi-dannymi-k-chemu-prideretsya-roskomnadzor

Перечень мест хранения персональных данных

АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ

от 7 февраля 2017 года N 44

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ТЕРЕНЬГУЛЬСКИЙ РАЙОН» УЛЬЯНОВСКОЙ ОБЛАСТИ

Глава администрации
муниципального образования
«Тереньгульский район»
В.М.ДЕРГУНОВ

Приложение N 1. Правила обработки и защиты персональных данных в администрации муниципального образования «Тереньгульский район» Ульяновской области

Приложение N 1
к постановлению
администрации МО «Тереньгульский район»
от 7 февраля 2017 года N 44

Читайте так же:  Согласие на выезд ребенка в лагерь образец

1. Общие положения

2. Условия и порядок обработки персональных данных в связи с реализацией должностных обязанностей или трудовых отношений

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных

4. Порядок обработки персональных данных в автоматизированных информационных системах

5. Сроки обработки и хранения персональных данных

6. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований

7. Рассмотрение запросов субъектов персональных данных или их представителей

8. Порядок доступа в помещения, в которых ведется обработка персональных данных

9. Лицо, ответственное за организацию обработки персональных данных

10. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

10.1. Каждый работник оператора персональных данных, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

10.2. Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.

11. Места хранения персональных данных

11.1. Перечень мест хранения материальных носителей персональных данных определяется согласно приложению к настоящим Правилам. Ответственные лица, указанные в приложении N 2 к настоящим Правилам, обязаны соблюдать требования конфиденциальности при хранении материальных носителей персональных данных, установленные действующим законодательством.

12. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

13. Порядок опечатывания кабинетов, где ведется обработка персональных данных

Приложение N 1. Акт об уничтожении персональных данных субъекта персональных данных

Приложение N 1
к Правилам

Видео (кликните для воспроизведения).

Акт об уничтожении персональных данных субъекта персональных данных

Комиссия, наделенная полномочиями распоряжением от ________ 20__ г. N ___,

Источник: http://docs.cntd.ru/document/463720736

Как подготовиться к проверке Роскомнадзора?

Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

Есть восемь моментов, на которые обращает внимание Роскомнадзор.

1. Ознакомление работников

Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

  • Политика в отношении обработки персональных данных;
  • Положение об обработке персональных данных;
  • Положение об обработке персональных данных без использования средств автоматизации.

2. Обучение работников в области защиты персональных данных

Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

  • приказом о допуске к обработке ПДн;
  • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
  • планом проведения внутреннего контроля;
  • приказом об утверждении перечня помещений, в которых ведется обработка;
  • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.

Убедитесь в том, что персональные данные в вашей компании защищены

3. Актуализация уведомления в Роскомнадзор об обработке ПДн

При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.

В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.

С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

4. Согласие субъектов на обработку ПДн

В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

  • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
  • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
  • составление общедоступных справочников внутри организации, адресных книг и т п.

При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

  • ФИО, адрес, паспортные данные субъекта ПДн;
  • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
  • наименование (ФИО) и адрес оператора;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых дается согласие;
  • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
  • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
  • срок, в течение которого действует согласие субъекта ПДн;
  • подпись субъекта ПДн.

5. Поручение обработки третьему лицу

В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

Поручение оператора содержит:

  • перечень действий с ПДн;
  • цели обработки ПДн;
  • обязанность соблюдения конфиденциальности ПДн;
  • обязанность обеспечения безопасности ПДн;
  • требования к защите ПДн.

При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

Читайте так же:  Согласие родителей на выезд ребенка по россии

6. Обработка ПДн на бумажных носителях

Бумажные носители ПДн также должны отвечать ряду требований законодательства:

  • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
  • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
  • для всех документов должны быть указаны сроки их хранения;
  • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
  • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
  • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

7. Избыточность обрабатываемых персональных данных

Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

8. Публикация Политики

Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

Источник: http://kontur.ru/articles/2832

5 шагов по организации учета и хранения персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Читайте так же:  Восстановление свидетельства о рождении взрослого через мфц

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Читайте так же:  Комиссия по делам несовершеннолетних горячая линия

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: http://school.kontur.ru/publications/1583

Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных (подготовлено экспертами компании «Гарант»)

Приказ
об утверждении мест хранения материальных носителей персональных данных

г. [ место издания приказа ]

[ число, месяц, год ]

В целях обеспечения режима конфиденциальности при работе с материальными носителями персональных данных в [наименование организации] и в соответствии с требованиями Положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. N 687, приказываю:

1. Утвердить следующие места хранения материальных носителей персональных данных и назначить ответственными за обеспечение сохранности материальных носителей следующих лиц:

Категория персональных данных

[ Бумажные носители персональных данных/электронные носители персональных данных ]

[ сейф/жесткий диск/съемный носитель и др. ]

[ должность, фамилия и инициалы ]

2. Хранить материальные носители персональных данных только в утвержденных местах.

3. Ознакомить под роспись лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

4. Контроль за исполнением настоящего приказа возложить на [ должность, инициалы, фамилия ].

Руководитель организации [ подпись, инициалы, фамилия ]

С приказом ознакомлены:

[ должность, подпись, инициалы, фамилия ]

[ число, месяц, год ]

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Купить документ Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных

Разработана: Компания «Гарант», май 2015 г.

Источник: http://base.garant.ru/55727569/

Приложение N 4. Список мест хранения материальных носителей персональных данных

Физическое место расположения

Должность допущенного должностного лица

Кому принадлежат персональные данные

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/27965448/172a6d689833ce3e42dc0a8a7b3cddf9/

Департамент общественных и внешних связей Ханты-Мансийского автономного округа – Югры

Об утверждении мест хранения материальных носителей

«18» ноября 2014 г. № 318

С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа — Югры в соответствии с требованиями Закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»

1.Утвердить Список мест хранения материальных носителей персональных данных в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры согласно приложению к настоящему приказу.

2.Контроль за исполнением настоящего приказа возложить на заместителя директора Департамента Бурычкина О.И.

Директор Департамента И.А. Верховский

Приложение к приказу

и внешних связей ХМАО-Югры

от 18.11.2014 № 318

хранения материальных носителей персональных данных в

Департаменте общественных и внешних связей

Ханты-Мансийского автономного округа — Югры

Видео (кликните для воспроизведения).

Источник: http://depos.admhmao.ru/dokumenty/prik/223638/

Перечень мест хранения персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here