Правовое обоснование обработки персональных данных

Содержание

Обработка персональных данных управляющими организациями

Правовое обоснование обработки персональных данных

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся!(часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Читайте также  Банкротство гражданина и его гражданско правовые последствия

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Правовое основание обработки персональных данных: образец

Данные методические рекомендации приготовлены для того, чтобы разъяснить правовое основание обработки персональных данных операторам, которым предстоит осуществлять ее.

Здесь содержатся сведения, необходимые при проведении такой обработки, информация обо всех изменениях в представленных ранее положениях.

Рекомендации не только дают правовое основание обработки персональных данных, но и поясняют, почему должны быть прекращены эти действия.

Федеральный закон

С марта 2009 года существует Положение по постановлению Правительства РФ, касающееся Федеральной службы по надзору в сфере массовых коммуникаций, информационных технологий и связи, где в первом пункте Роскомнадзор получает полномочия и правовое основание обработки персональных данных для защиты прав субъектов.

В статье 23 (часть 5, пункт 3) 152-ФЗ, где говорится о персональных данных, уполномоченный орган, занимающийся защитой прав субъектов, по обязанности ведет реестр операторов. Он получает правовое основание обработки персональных данных.

Реестр включает в себя внесение сведений об операторе согласно поданному уведомлению. Далее вносятся изменения в сведения, содержащиеся в реестре об операторе согласно полученному информационному письму.

Вносятся сведения о прекращении обработки персональных данных, правовое основание — это поступившее заявление. Оно же дает право на получение выписки из реестра.

Ведение реестра

Информацию в полном объеме, касающуюся формы ведения реестра, содержит портал персональных данных и официальный сайт Роскомнадзора.

Там же можно найти рекомендованную форму уведомления о намерениях осуществления на правовом основании обработки персональных данных. Образец включен в иллюстрации к статье.

Там же находится и информационное письмо (уведомление, касающееся внесения изменений в реестр относительно сведений об операторе).

Кроме этого, среди приложений есть еще две рекомендованные формы:

  1. Заявление относительно прекращения со стороны оператора обработки персональных данных с правовым основанием, образец которого можно скачать и распечатать.
  2. Заявление на получение выписки, точно так же — в рекомендованной форме.

Сведения

Сведения об операторе, которые содержатся в реестре, общедоступны. Однако чтобы воспринять содержащуюся в реестре информацию, нужно более подробно коснуться понятийной системы. Иначе не каждому будет понятно, что писать.

Правовое основание обработки персональных данных содержит достаточное количество вопросов. Во-первых, кто такой оператор? Это государственные или муниципальные органы, физическое или юридическое лицо, которое осуществляет на правовом основании обработку персональных данных в организации.

Эти же органы или лицо должно определить цель и содержание такой обработки.

Во-вторых, что подразумевается под понятием правового основания обработки персональных данных? Руководствуясь образцом, можно довольно легко определить, что это любая операция или их совокупность, которая совершается при помощи средств автоматизации работы с персональными данными или без таковых.

Данные можно собрать, записать, систематизировать, накопить, хранить, уточнять, обновлять, изменять, извлекать, использовать, передавать, распространять, предоставлять, создать к ним доступ, обезличить, блокировать, удалять, уничтожать. Вот этим и занимается оператор при заполнении реестра.

Это очень общие сведения правового основания обработки персональных данных.

В школе и детском саду

В последние годы достаточно часто случаются конфликты сотрудников детских садов и школ с родителями, поскольку последние не согласны с тем или иным вариантом обработки персональных данных в школе.

Правовое основание для этого связано с законом, о котором было сказано выше — 152-ФЗ. Чаще всего родители просто не в курсе того, о чем там говорится. Сотрудники не могут найти с ними общий язык, потому что говорят все о разных вещах.

Здесь нужно знать пять важнейших аспектов для предотвращения всяческих недоразумений.

Во-первых, школы или ДОУ всегда являются операторами, которым дано правовое основание обработки персональных данных в ДОУ или школе. Именно операторы отвечают за безопасность всех данных.

Проблемы здесь весьма запутанные, и обычные родители, не соприкасающиеся с обработкой данных, в ней просто не разбираются, но угрозы и претензии, поступающие от них в сторону дошкольных или школьных образовательных учреждений, практически всегда далеки от адеквата.

Принципы закона

Образовательные учреждения любого уровня всегда должны обрабатывать данные родителей, учеников и преподавателей (воспитателей). Прежде всего это делается для продуктивной коммуникации.

Закон гласит, что любая информация, которая связана с конкретным человеком, обрабатывается в соответствии с поставленными целями. И это важнейший из критериев законности такой обработки. Оператор же и отвечает за их сохранность.

Общедоступные данные защиты не требуют, поскольку субъект дал разрешение на их публикацию в открытых источниках. И если это разрешение отозвано, закон требует общедоступные данные защищать.

Школьную информацию в тайне сохранить не получится. Например, ДОУ и любая школа публикует на официальных сайтах имена, отчества, фамилии, квалификационные показатели, а также данные о работе, которая ведется.

Бывают данные обезличенные, которые не позволяют без дополнительного информатора определить субъекта, к которому они относятся. Их защитить гораздо проще.

Для данных, содержащих любую медицинскую информацию (в законе перечислены виды информации помимо медицинских данных), защита осуществляется наиболее жестко.

Гражданский кодекс

Помимо 152-ФЗ, правила обработки данных устанавливает и Гражданский кодекс.

Например, родителей под подпись знакомят с основными принципами прямо при приеме ребенка в детский сад или школу и берут письменное согласие о том, что они разрешают публикацию видео- и фотоизображений ребенка, если это будет необходимо при отражении разнообразных событий образовательного процесса. Отсутствие такого согласия тем не менее не лишает учреждение правовой основы для обработки личных данных. Хотя именно такая ситуация и приносит оператору наибольшие неприятные хлопоты.

В законе есть исключения, когда согласие не требуется вообще, и это может не касаться образовательных учреждений. Например, организуется поездка с детьми. Покупаются билеты по спискам участников. Если образовательные цели преследуются, правовое основание уже присутствует.

Нужен только приказ руководства, выполненный в формулировках 152-ФЗ. Если образовательные цели не преследуются, нужно брать письменное согласие родителей или искать решение в рамках других законов.

Причем отозвать согласие на обработку личных данных субъект может совершенно в любой момент, Гражданский кодекс подтверждает это, хотя обязательно последуют какие-либо административные последствия.

Примеры

Как иллюстрацию неважности письменного согласия можно рассматривать письмо от 4 марта 2015 года №03-155 Министерства образования и науки, где есть прямой ответ на вопрос о передаче личных данных в информационную систему сдачи ЕГЭ или ОГЭ из школы, где обучается ребенок. Родитель может отказаться, хотя никакого письменного согласия в данном случае и не требовалось. Однако ребенок к сдаче экзаменов допущен не будет.

Один из видов обработки данных — передача их третьим лицам, что является как раз требуемой законом защитой, которая содержит целый ряд специфических мероприятий. Федеральный закон предусматривает такие случаи конкретно.

Например, если поступает угроза здоровью или жизни людей. Относительно публикации информации в электронных классных журналах существуют ответы на проблемные вопросы в письме АК-3358/08 от 21 октября 2014 года Минобрнауки РФ.

Другие организации

Любые другие учреждения и организации, являющиеся операторами по сбору, обработке и хранению данных, так же точно выполняют общие требования, определенные законодательством РФ, в том числе и статьей 86 Трудового кодекса. Правовое основание обработки персональных данных сельхозпредприятия, промышленного объекта, в принципе, любого образования состоит только в соблюдении существующих законов и других нормативных актов.

Целью такой обработки может служить содействие в трудоустройстве, в профессиональном росте и обучении, в обеспечении безопасности личной и корпоративной, в контроле за качеством и количеством продукта деятельности и во многом еще. Все персональные данные после того, как были получены, проходят обработку и передаются на хранение на бумажных или электронных носителях (с помощью информационных систем).

Согласие и условия

Для того чтобы начать обработку, работодатель должен попросить письменное согласие у своего работника. Форма этого документа как образец присутствует здесь в иллюстрациях. Передача личных данных производится при различных условиях.

Без письменного согласия работника данные третьей стороне не передаются, кроме случаев угрозы здоровью и жизни, а также прочих, установленных законодательством.

Тем более нельзя использовать данные работника в целях коммерческих, если такового согласия работник не дал.

Лица, получающие информацию личного характера, обязаны соблюдать полную конфиденциальность. Доступ к личной информации разрешается только тем работникам, которые имеют правовое основание для сбора, хранения и обработки данных.

Информация о состоянии здоровья сотрудника запрашивается только в тех объемах, которые необходимы для выполнения трудовой деятельности. В каждом своем действии оператор обязан руководствоваться правилами, установленными ТК РФ.

Читайте также  Правовое положение филиалов и представительств юридического лица

Хранение и защита

Каждое предприятие, в том числе и сельскохозяйственного направления, оформляет, формирует, ведет и хранит содержащую персональные данные информацию.

И всегда эта работа выполняется теми, кто имеет на то правовое основание, зафиксированное в должностных инструкциях. Ответственный за такую деятельность назначается генеральным директором.

Допуск к информации посторонние не имеют, список допущенных к этой деятельности лиц также утверждается руководством предприятия и визируется подписью генерального директора.

Постоянное право доступа к личным данным имеют генеральный директор, администрация в лице начальника и сотрудников, отвечающих за работу с персоналом, инспектор по кадрам, инженер, отвечающий за организацию и нормирование труда в структурных подразделениях.

На некоторых предприятиях в любой момент может запросить любую персональную информацию главный бухгалтер, если необходимо подготовить определенные документы. Всегда имеет доступ к конфиденциальной информации ответственный за безопасность и его сотрудники в рамках полномочий.

Этот список варьируется в зависимости от правил врутреннего распорядка предприятия.

Передача данных

Передавать данные можно сугубо по письменному запросу государственных властных органов: в правоохранительные органы, налоговые инспекции, суды, органы безопасности, МЧС, в миграционную службу, военкоматы, органы социалного страхования, статистики, в пенсионные фонды и тому подобные.

Однако без письменного сгласия работника и этого делать нельзя ни по факсу, ни по телефону, ни по электронной почте, ни на каких носителях. Исключения содержатся в законодательстве РФ.

Источник: http://fb.ru/article/364913/pravovoe-osnovanie-obrabotki-personalnyih-dannyih-obrazets

Сведения о персональных данных

Адрес оператора

Адрес местонахождения: г. Белгород, ул. 60 лет Октября, дом 4
Почтовый адреc: 308036, г. Белгород, ул. 60 лет Октября, дом 4

Регионы:

ИНН: 3123030770

Коды: ОГРН 1023101649922; ОКВЭД 80.10.3; ОКПО 41905339; ОKФС 14; ОКОГУ 4210007; ОКОПФ 20903

Правовое основание обработки персональных данных

руководствуясь Конституцией РФ; Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»; главой 14 Трудового кодекса РФ; Федеральным законом от 29 декабря 2012 года № 273-ФЗ «Об образовании в Российской Федерации»; письмом Минобрнауки РФ от 19.09.2014 г. № 08-1316 «О внесении сведений в Реестр операторов персональных данных»

Цель обработки персональных данных

с целью ведения кадровой документации по сотрудникам оператора; учет сведений об обучающихся, их родителях (законных представителях); осуществление уставных видов деятельности

Категории персональных данных

осуществляет обработку следующих категорий персональных данных:фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия;

специальные категории персональных данных:

состояние здоровья

Категории субъектов, персональные данные которых обрабатываются

принадлежащих: работники, состоящие в трудовых отношениях с юридическим лицом; обучающиеся; родители (законные представители) обучающихся

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение

обработка вышеуказанных персональных данных будет осуществляться путем: смешанной обработки; без передачи по внутренней сети юридического лица; с передачей по сети Интернет
осуществление трансграничной передачи персональных данных: не осуществляется

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»:

— оператором назначен ответственный за организацию обработки персональных данных;

— оператором приняты документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

— применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;

— осуществляется внутренний контроль соответствия обработки персональных данных требованиям законодательства и принятым в соответствии с ним нормативными правовыми актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

средства обеспечения безопасности: правовые, организационные, технические

использование шифровальных (криптографических) средств: не используются

Ответственный за организацию обработки персональных данных: Журавлева Наталья Васильевна, номера контактных телефонов, почтовые адреса и адреса электронной почты: 7(4722)218-071; 308036; ул. 60 лет Октября, дом 4;     zhuravleva-54@bk.ru

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: в соответствии с Постановлением Правительства РФ от 15 сентября 2008 года № 687 оператором осуществляются следующие меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации:

— персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков);

— при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, для каждой категории персональных данных используется отдельный материальный носитель;

— лица, осуществляющие обработку персональных данных без использования средств автоматизации проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии). В соответствии с Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Дата начала обработки персональных данных: 23.01.2012

Срок или условие прекращения обработки персональных данных: при прекращении деятельности в качестве юридического лица

Источник: http://belsun.ru/?page_id=1742

Каковы цели обработки персональных данных в организации

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов.

Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.

online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Читайте также  Правовое сопровождение сделок с недвижимостью

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Обратите внимание

За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.

Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя.

В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Источник: https://otdelkadrov.online/5837-pravovoe-obosnovanie-neobhodimost-obrabotki-personalnyh-dannyh-v-organizatsii

Политика обработки персональных данных: как составить документ

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который вносит поправки в ст. 13.11 КоАП и предусматривает расширение перечня оснований для привлечения к административной ответственности за незаконную обработку персональных данных и существенное увеличение штрафов.

Один из обязательных документов, который должен подготовить оператор персональных данных, чтобы соблюсти требования Федерального закона от 27.07.

2006 № 152-ФЗ, называется Политика в отношении обработки персональных данных, она объясняет, как компания работает с данными работников, клиентов и других физических лиц.

Этот файл находится в свободном доступе практически на всех сайтах, которые имеют какие-либо формы сбора персональных данных.

Как правильно составить Политику обработки персональных данных, какие разделы нужно обязательно включить? Разъяснения по этим вопросам дает Роскомнадзор.

Структура Политики обработки персональных данных

Ведомство рекомендует предусмотреть в документе шесть основных компонентов:

  • Общие положения
  • Цели сбора персональных данных
  • Правовые основания обработки персональных данных
  • Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
  • Порядок и условия обработки персональных данных
  • Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

1. Общие цели

В этом разделе вы фактически отвечаете на вопрос — для чего предназначена Политика обработки персональных данных? Здесь же разъясняются основные понятия, которые используются в документе, а также права и обязанности оператора и субъекта персональных данных.

2. Цели сбора персональных данных

Ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ требует определения конкретных, законных целей сбора данных. Следовательно, нельзя обрабатывать персональные данные, которые не соответствуют этим целям.

Роскомнадзор указывает на то, что цели обработки персональных данных могут происходить в том числе:

  • из анализа правовых актов, регламентирующих деятельность оператора;
  • из целей фактически осуществляемой оператором деятельности;
  • из деятельности, которая предусмотрена учредительными документами оператора;
  • из конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовые основания обработки персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием обработки персональных данных. Эту роль выполняют правовые акты, в соответствии с которыми оператор обрабатывает данные.

Таким образом, в Политике обработки данных в качестве правовых оснований можно указать: федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора; уставные документы оператора; договоры, заключаемые между оператором и субъектом персональных данных; согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Важно, чтобы объем обрабатываемых персональных данных не расходился с заявленными целями обработки.  

К категориям субъектов персональных данных могут относиться: сотрудники — как настоящие, так и бывшие, кандидаты на вакансии, родственники работников, клиенты и контрагенты (физлица), представители или работники клиентов и контрагентов.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Роскомнадзор обращает внимание на то, что по каждой категории субъектов и применительно к конкретным целям следует указать все обрабатываемые персональные данные. Отдельно описываются все случаи обработки специальных категорий персональных данных и биометрических персональных данных (если применяются).

5. Порядок и условия обработки персональных данных

Что указывается в этом разделе:

  • перечень действий, совершаемых с персональными данными;
  • способы обработки персональных данных;
  • сроки обработки персональных данных.

Если в рамках достижения целей обработки персональных данных оператор взаимодействует с третьими лицами, то ему нужно:

  • пояснить условия передачи персональных данных в адрес третьих лиц (в том числе речь идет и о трансграничной передаче данных);
  • указать наименование и местонахождение третьих лиц;
  • обозначить цели передачи данных и их объем;
  • перечислить действия по обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Передавать персональные данные оператор вправе органам дознания и следствия, а также иным уполномоченным органам по предусмотренным законодательством основаниям.

В Политику обработки персональных данных следует внести сведения о соблюдении требований конфиденциальности персональных данных (они названы в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ) и информацию о принятии мер (ч. 2 ст. 18.1, ч. 1 ст. 19).

Кроме того, оператору нужно указать условие прекращения обработки персональных данных. Это может быть достижение целей обработки, истечение срока действия согласия на обработку, отзыв согласия субъекта персональных данных на обработку, выявление неправомерной обработки данных.

Отдельное внимание стоит уделить такому вопросу, как хранение персональных данных. Во-первых, обязательно называются сроки. Во-вторых, используются базы данных, находящиеся на территории РФ.

В-третьих, учитывается тот факт, что хранение должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки.

В-четвертых, необходимо упомянуть об иных условия хранения, в том числе, при обработке данных без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Согласно ст. 21 № 152-ФЗ, персональные данные должны быть актуализированы оператором, если подтвержден факт неточности персональных данных. То же касается и подтверждения факта неправомерности обработки.

Персональные данные подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом персональных данных согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не предусмотрено иным соглашением между оператором и субъектом персональных данных. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

На основании ст. 20 оператор обязан сообщить субъекту персональных данных информацию об осуществляемой им обработке персональных данных по запросу. 

Роскомнадзор рекомендует включить в Политику обработки персональных данных регламенты реагирования на запросы и обращения субъектов персональных данных, их представителей, уполномоченных органов по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным. Не лишним будет добавить в Политику соответствующие формы запросов и обращений.

Размещение Политики обработки персональных данных в офисе и на сайте

Любой человек, чьи данные обрабатывает компания, имеет право ознакомиться с Политикой обработки персональных данных. Поэтому ее нужно размещать в общедоступном месте. Например, использовать для этого информационный стенд.

Если компания собирает персональные данные через интернет, то она обязана разместить Политику на сайте. Посетитель сайта сможет ознакомиться с ней, кликнув по ссылке.

Чтобы выполнить все требования закона об обработке персональных данных, следуйте бесплатной инструкции и разрабатывайте необходимые документы без изучения № 152-ФЗ.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Источник: https://kontur.ru/articles/4871

Понравилась статья? Поделить с друзьями: