Реестр операторов осуществляющих обработку персональных данных. Проверка деятельности операторов персональных данных. Обязанности оператора при обработке персональных данных

Требования закона к оператору персональных данных

Оператор обязан обеспечивать конфиденциальность персональных данных. В статье 7 Федерального закона РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее ФЗ-152) написано, что оператор не обязан защищать персональные данные, если они являются обезличенными или общедоступными. Оператор персональных данных не имеет права обрабатывать данные без согласия субъекта персональных данных , то есть человека, кому эти данные принадлежат. Однако, в ст. 6 ч.2 ФЗ-152 предусмотрен ряд случаев, когда согласие субъекта не требуется.
В частности, не требуется согласие субъекта, если его персональные данные обрабатываются на основании Федерального закона, определяющего цель и содержание такой обработки (ст. 6, п.2, ч.2). Например, согласно Федеральному закону № ФЗ-3266-1 «Об образовании», у выпускников средних общеобразовательных учреждений не обязательно брать согласие на обработку их персональных данных для допуска к ЕГЭ. Органы и организации, привлекаемые к проведению ЕГЭ, осуществляют «…передачу, обработку и предоставление полученных в связи с проведением единого государственного экзамена <…> персональных данных обучающихся, участников единого государственного экзамена <…> в соответствии с требованиями законодательства Российской Федерации в области персональных данных без получения согласия этих лиц на обработку их персональных данных» (ст. 15, п. 5.1). В апрельском номере журнала «Персональные данные» есть большой материал , посвященный именно этой проблеме.
Еще один случай, когда для обработки персональных данных не требуется согласие субъекта: исполнение договора, одной из сторон которого является субъект персональных данных. Для примера подойдет любой договор компании с физическим лицом на оказание услуг. Массу полезной информации по этой теме можно найти в специализированной прессе. Оператор также должен обеспечивать необходимые организационные и технические меры для пресечения попытки незаконного доступа к персональным данным.

Необходимые документы

Каждый оператор персональных данных обязан иметь пакет документов, подтверждающих защищенность Пдн сотрудников и клиентов.

Перечень необходимых документов может меняться в зависимости от специфики обработки персональных данных, орг.структуры и других особенностей каждого отдельно взятого предприятия.

В соответствии с данным пакетом документов на предприятии должны быть внедрены технические средства защиты персональных данных.

Подготовка документов, необходимых для защиты персональных данных

Существует несколько способов подготовить документы в соответствии с требованиями 152-ФЗ «О персональных данных» :

Средства защиты

Практически в каждой организации имеется информационная система персональных данных (сокращённо ИСПДн), которая может содержать, например, фамилию, имя работника, его паспортные данные, ИНН и т. д. С этой информационной системой работает оператор. В зависимости от того, какие данные содержатся в ИСПДн конкретной организации, эта ИСПДн может относится к одному из четырёх классов, каждый из которых предусматривает различные средства для защиты персональных данных.

См. также

Ссылки

• www.rsoc.ru Реестр операторов, осуществляющих обработку персональных данных
• www.pd.rsoc.ru Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
• www.privacy-journal.ru Информационно-аналитический журнал "Персональные данные"

Wikimedia Foundation . 2010 .

Смотреть что такое "Оператор персональных данных" в других словарях:

Оператор персональных данных - 2) оператор государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки… … Официальная терминология

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… … Википедия

Субъект персональных данных физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных … Википедия

Комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение … Википедия

Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ … Википедия

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) - Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ПРИНЯТИИ РЕШЕНИЙ НА ОСНОВАНИИ ИСКЛЮЧИТЕЛЬНО АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, заключаются в запрещении принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении… …

оператор - 4.22 оператор (operator): Какой либо объект, осуществляющий работу системы. Примечание 1 Роль оператора и роль пользователя могут возлагаться одновременно или последовательно на одно и то же лицо или организацию. Примечание 2 В контексте данного… … Словарь-справочник терминов нормативно-технической документации

ОПЕРАТОР - согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели … Делопроизводство и архивное дело в терминах и определениях

Данный портал создавался, чтобы предоставлять гражданам сведения относительно деятельности Роскомнадзора в разных направлениях. Кроме того, через этот сайт легко получить доступ к любому другому оператору, занимающемуся обработкой данных.

Что это такое

Портал персональных данных Роскомнадзора – инструмент, позволяющий вести тщательный контроль, как обычных граждан, так и индивидуальных предпринимателей, коммерческих организаций . Любая компания, обрабатывающая личные данные, должна сначала зарегистрироваться у Роскомнадзора, и только после этого приступать к соответствующей деятельности.

Для чего нужен

Персональной считается любая информация, которую можно использовать для идентификации конкретного человека . Портал нужен, чтобы пользователям было легче взаимодействовать с операторами, обрабатывающими любые данные, осуществляющими различные действия для этого.

Так же можно сообщать самой контролирующей организации, если выявлены какие-либо нарушения. В этом случае, применяются соответствующие наказания.

Кто может пользоваться

Специализированный портал функционирует в открытом доступе . Так что воспользоваться его возможностями и размещённой информацией могут любые граждане. Достаточно ввести наименование интересующего оператора либо использовать его ИНН. Результатом поиска станут сведения, касающиеся того или иного участника рынка.

Реестр операторов

К персональным сведениям можно относить большое количество явлений, включая :

1. Адрес электронной почты.
2. Точное описание текущего места проживания.
3. Номера мобильных телефонов.
4. Сведения из удостоверений.
5. ФИО гражданина.

Персональной может быть признана любая информация, относящаяся к тому или иному конкретному лицу. В некоторых случаях, для идентификации хватает ФИО и номера автомобиля. При других обстоятельствах необходим регистрационный адрес, сведения о водительском удостоверении.

1. Самостоятельно обрабатывают персональные данные, либо объединяются для этого с другими лицами.
2. Сами определяют операции с данными, их состав, цели работы.

Оператором будут считать любого, кто пользуется личными данными, отправляет соответствующие запросы. Такие компании работают во всех сферах. Именно данные о них заносятся в реестр. Клиенты могут сами изучать ИНН, разрешительную документацию и так далее.

Видео, на котором рассказывается, как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора.

Регистрация на сайте

Регистрация на портале не требуется , вся информация находится в открытом доступе, дополнительных действий осуществлять не нужно. То же касается различных документов, посвящённых защите информации посетителей.

Интерфейс, использование

Здесь нет ничего сложного. Кнопка с поиском по реестру располагается в самой верхней части главной странице портала. В этой строчке вводятся любые данные, известные по той или иной компании. Чуть ниже располагается ссылка с расширенным поиском. То есть, можно вбивать не только наименование, но и ИНН, регистрационный номер при его наличии.

Нормативная регламентация

Регламентирует деятельность Роскомнадзора, связанную с контролем выполнения законодательства по личным данным граждан. Но в самом тексте статьи отсутствует точное наименование органа, наделённого соответствующими полномочиями. Потому в качестве опоры разрешается ещё использовать Постановление Правительства РФ №228 «О реестре лиц, уволенных в связи с утратой доверия» , выпущенное в 2009 году. Именно в этом тексте полномочия закрепляются конкретно за Роскомнадзором.

Согласно законодательству, представители данного учреждения имеют следующие полномочия и права :

1. Самостоятельное привлечение к административной ответственности при выявлении нарушений, связанных с персональными данными.
2. Обращение к правоохранительным органам и судебным инстанциям с целью защиты интересов граждан. То же можно делать, если обнаруживаются какие-либо нарушения.
3. Ограничение доступа к информации при наличии нарушений со стороны оператора. Либо выставление требований с просьбами заблокировать, уничтожить или уточнить те или иные сведения.
4. Запрос по получению информации, связанной с обработкой персональных данных.

Проведение проверок Роскомнадзором

Для проведения таких мероприятий существует специальный регламент. Он утверждён соответствующим Приказом Министерства связи №312 от 2011 года . Пункт 32 данного регламента посвящён ситуациям, когда должны проводиться плановые проверки по отношению к операторам:

1. Когда компания только начинает заниматься обработкой персональных данных.
2. После того, как прошло 3 года после предыдущей проверки. Или с момента начала деятельности.

О предстоящей проверке надо обязательно уведомить организацию, минимум за 3 дня до непосредственной организации мероприятия.

У Роскомнадзора имеется право по проведению и внеплановых проверок . Например, если имеются обращения от граждан и других организаций по вопросам нарушения прав. Или когда появляется угроза жизни, здоровью. В данном случае, уведомление должно поступить за 24 часа до проведения .

По результатам проверки специалисты оформляют соответствующий акт . При наличии нарушений последние подробно описываются в сопроводительном документе. Обязательно указываются лица, ставшие виновными в тех или иных нарушениях. Приводится описание правовых оснований, позволяющих привлечь к ответственности граждан или компании.

Когда требуется согласие на обработку данных

Обработка информации может проводиться только в том случае, если прежний владелец даёт своё согласие либо когда имеются другие законные основания. Каждый отдельный случай рассматривается индивидуально :

1. В сфере ЖКХ согласия жильцов не требуется, когда управляющие компании привлекают платёжных агентов для расчёта за пользование услугами.
2. Некоторые ситуации требуют получения разрешения в письменной форме. Особенно это касается специальных категорий персональных данных. К примеру, когда речь идёт о биометрической информации.

Ответственность за нарушения

– основной документ, который до недавнего времени устанавливал наказания за нарушения в данной сфере. Юридические лица могли столкнуться с наложением штрафов в размере 5 000 — 10 000 рублей либо предупреждением, вынесенным компетентными органами.

Для выявления нарушений проводились контрольные мероприятия в виде проверок . По поводу нарушений отправлялись специальные сообщения представителям прокуратуры. В случае одобрения заявления, организовалось судебное делопроизводство.

Но с недавнего времени ситуация изменилась. Теперь законы стали более детально описывать соответствующие процедуры. Изменения касаются следующих направлений :

1. Увеличения штрафов.
2. Появления полномочий составлять протоколы и возбуждать дела, не обращаясь в прокуратуру.

О регистрации в качестве оператора

Данное мероприятие не обязательно для следующих категорий населения и участников рынка :

1. Компании, запрашивающие данные, к примеру, для покупки билетов. Это касается любых перевозчиков, работающих в режиме онлайн.
2. Те, кто обрабатывает данные без использования компьютерной техники.
3. Системы, получившие статус государственных автоматизированных инфосистем. Или организации, созданные для защиты общества, порядка.
4. Любые компании с действующей системой пропусков. Не нужно регистрироваться, если информация гражданина считывается только один раз, для получения пропуска.
5. Компании и частные лица, пользующиеся сведениями, раскрытыми самими гражданами.
6. Те, кто используют информацию для достижения целей, описанных в учредительной документации.
7. Компании из сферы сотовой связи, которым данные нужны исключительно для осуществления услуг.
8. Руководители предприятий.

Потому многие компании могут не попасть в реестр, располагающийся на официальном сайте Роскомнадзора. Для завершения процедуры регистрации достаточно подать заявление, следуя установленным требованиям. Рекомендуется подавать заявления в электронной форме либо с использованием фирменных бланков.

Не все компании и индивидуальные предприниматели знают, являются ли операторами персональных данных и надо ли им передавать о себе сведения в Роскомнадзор. Разберемся, за кем служба следит более внимательно и как уведомить о начале обработки личной информации граждан.

Кто такие операторы персональных данных и чем они занимаются

Большинство знает, что к персональным данным (далее — ПД) относится информация о фамилии, имени и отчестве гражданина, сведения из его паспорта, номер мобильного телефона, адрес проживания, e-mail. Какие еще сведения можно включить в этот список? Оказывается, любые: исчерпывающий список нигде не представлен, и его в принципе быть не может. Это подтверждается и формулировкой в Федеральном законе от 27.07.2006 № 152-ФЗ :

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Получается, что в некоторых случаях будет достаточно фамилии, имени и номера автомобиля, чтобы идентифицировать гражданина, а в других понадобится еще номер его водительского удостоверения и адрес регистрации.

Оператор персональных данных — это государственный или муниципальный орган, юридическое или физическое лицо, которое:

• самостоятельно или совместно с другими лицами организует и/или осуществляет обработку ПД;
• определяет цели работы с личной информацией, ее состав, а также действия (операции) с ней.

То есть любой, кто запрашивает и пользуется ПД, является их оператором. И все, кто имеет доступ и обрабатывает сведения, по которым можно идентифицировать гражданина, фактически работают с ПД и несут ответственность за несоблюдение закона об их защите.

Давайте представим, кто может относиться к операторам ПД. Банки? Да! Сайты, собирающие материал о подписчиках? Да! Юридические и бухгалтерские компании, оказывающие различные услуги? Да! Магазины и салоны красоты, предлагающие приобрести бонусную карту? Снова да! ТСЖ, вузы, детсады, турагентства, медучреждения, автоматизированные системы, в том числе государственные? Да, да, да! Операторы ПД — повсюду, в любой сфере!

Обязанности оператора при обработке персональных данных

Каждый, кто имеет дело с ПД, обязан соблюдать определенные правила сбора, обеспечения безопасности, уточнения, блокирования и уничтожения такого рода сведений. Согласно закону № 152-ФЗ, операторы должны:

Регистрация в Роскомнадзоре в качестве оператора персональных данных

Законом предусмотрено, что до начала работы с ПД необходимо обратиться в уполномоченный орган надзора и уведомить о начале работы с личной информацией. Это не значит, что каждая компания должна быть внесена в реестр операторов персональных данных Роскомнадзора. В этот список не включаются:

• работодатели. Они собирают и хранят информацию в соответствии с трудовым законодательством, например, при оформлении трудовых договоров, различных приказов кадрового характера;
• компании сотовой или стационарной телефонной связи, если данные получены исключительно для оказания услуг связи по заключенному договору, не распространяются и не предоставляются третьим лицам без согласия субъекта ПД;
• общественные объединения или религиозные организации, которые получают доступ к данным своих членов (участников) для достижения целей, предусмотренных в учредительных документах;
• организации и частные лица, пользующиеся общедоступными сведениями, которые субъекты ПД сами раскрыли, например, на персональных сайтах;
• любые компании, в которых действует система пропусков. Если паспортные данные гражданина переписываются для оформления однократного пропуска на территорию организации, регистрироваться не придется;
• системы со статусом государственных автоматизированных информсистем, а также государственные системы ПД, созданные в целях защиты безопасности государства и общественного порядка. Их очень много, а в их числе системы «Эра-Глонасс» и «Управление», АИС учета некоммерческих и религиозных организаций и многие другие на федеральном и региональном уровне;
• граждане и организации, которые обрабатывают информацию без использования средств автоматизации (компьютера). При этом им надо руководствоваться требованиями, утвержденными Постановлением правительства от 15 сентября 2008 г. N 687 ;
• организации, которые запрашивают данные для обеспечения безопасного функционирования транспортного комплекса, например, при бронировании и покупке билетов, в том числе через онлайн-сервисы перевозчиков или посредников.

С учетом таких формулировок многие из организаций уже не попадают в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Но те, на кого исключения не распространяются, обязательно должны быть в списке контролирующего органа.

Процедура регистрации заключается в подаче уведомления по определенной форме. С ней можно ознакомиться через реестр персональных данных Роскомнадзора, портал госуслуг либо с помощью Приказа Минкомсвязи России от 21.12.2011 N 346 . Бесплатно скачать нужный документ можно и в конце этой статьи.

Вне зависимости от способа информирования чиновников, в уведомлении придется обязательно указать:

• полное и сокращенное наименование компании с указанием организационно-правовой формы, а также юридический и почтовый адреса, ИНН;
• цели обработки, заявленные в учредительных документах либо фактически осуществляемые;
• категории ПД, которые будут обрабатываться;
• субъекты, чьи ПД планируется обрабатывать, в том числе отношения с ними, например, пассажир, заемщик, абонент, вкладчик, страхователь;
• основание, по которому имеется право на обработку (к примеру, статьи Воздушного кодекса РФ или закона об актах гражданского состояния об актах гражданского состояния), в том числе наличие лицензии на осуществляемый вид деятельности;
• описание используемых способов обработки ПД и их перечень: неавтоматизированная, автоматизированная или смешанная обработка;
• сведения о лицах, ответственных за организацию обработки ПД, номера их телефонов, почтовые адреса, e-mail;
• информация о шифровальных (криптографических) средствах;
• дата начала, а также условия и сроки прекращения обработки ПД;
• сведения о том, где хранятся данные в процессе их обработки, в том числе о стране, где находятся базы с информацией о ПД граждан Российской Федерации;
• сведения об обеспечении безопасности ПД в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 N 1119 .

Отметим, что регистрация оператора персональных данных на сайте Роскомнадзора осуществляется в 30-дневный срок. Если будет подано электронное заявление, компании придется направить в территориальный орган дополнительно и бумажный экземпляр уведомления. Если сведений будет недостаточно, чиновники направят запрос об уточнении поданных документов. Отказать в принятии уведомления и занесении сведений об организации в реестр нельзя.

Если, по разным причинам, у организации изменились цели обработки ПД или необходимо внести иные изменения, в течение 10 дней она направляет в адрес Роскомнадзора письмо по установленной форме. С документом можно ознакомиться ниже. Кроме того, читателям сайт доступна для скачивания форма документа, необходимого для исключения компании из реестра.

Все оказываемые в этом случае услуги Роскомнадзором бесплатны.

Ответственность за отказ регистрироваться в реестре

Действующим законодательством предусмотрена административная ответственность за нарушение требований к защите ПД. Согласно Федеральному закону от 07.02.2017 № 13-ФЗ , который начал действовать с 1 июля 2017 года, в статье 13.11 КоАП РФ предусмотрено несколько составов правонарушений, за которые могут быть оштрафованы операторы персональных данных. В зависимости от правонарушения штрафы для юридических лиц по этой статье варьируют от 15 000 до 75 000 рублей, а для ИП — от 5000 до 20 000 рублей.

Отказ регистрироваться в реестре может быть расценен как непредставление информации в контролирующий орган. Наказание за это предусмотрено в статье 19.7 КоАП РФ . По ней должностным лицам грозит штраф в размере от 300 до 500 рублей, а юридическим — от 3000 до 5000 рублей.

Как организовать обработку персональных данных сотрудников. Реестр операторов персональных данных Роскомнадзора. Как получить согласие сотрудника на обработку его персональных данных.

Вопрос: Обязано ли МУП зарегистрироваться реестре операторов персональных данных Роскомнадзора,а также разработать комплект документов по защите персональных данных?

Ответ: Да, МУП обязано зарегистрироваться в реестре операторов персональных данных, а также разработать комплект документов по защите персональных данных, если в МУП работают работники и МУП обрабатывает их персональные данные или МУП обрабатывает персональные данные различных физических лиц (клиентов, партнеров).

Обоснование

Как организовать обработку персональных данных сотрудников

Понятие персданных

Какие персональные данные сотрудника вправе получить организация

Общедоступные персданные

Вопрос из практики: какие персональные данные считаются общедоступными

Общедоступная информация - это общеизвестные сведения и иная информация, доступ к которой не ограничен. Такая информация может использоваться любыми лицами по их усмотрению при соблюдении законно установленных ограничений на ее распространение. Об этом говорится в пунктах , статьи 7 Закона от 27 июля 2006 г. № 149-ФЗ.

Общедоступные персональные данные - данные, которые субъект персональных данных сделал таковыми. К общедоступным персональным данным могут относиться сведения, доступные неограниченному кругу лиц (например, данные из открытых справочников, адресных книг и др.).

Поскольку любой желающий имеет к ним доступ, то специальной охраны они уже не требуют.

При обработке таких данных оператору не нужно уведомлять об этом уполномоченный орган по защите прав субъектов персональных данных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

Согласие на обработку персданных

Как получить согласие сотрудника на обработку его персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

• фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;

• наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись сотрудника.

Такие требования установлены в части 4

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме . В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ, например, для осуществления правосудия или защиты жизни (здоровья) самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ).

Необходимо отметить, что согласие на обработку персональных данных работодателю необходимо получать не только от сотрудников, то есть лиц, с которыми он состоит в трудовых отношениях, но и от соискателей, а также от лиц, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Универсальное согласие

Вопрос из практики: можно ли при заключении трудового договора получить у работника письменное согласие на предоставление его персональных данных третьим лицам во всех необходимых ситуациях до момента увольнения

Нет, нельзя.

Для передачи данных сотрудника третьим лицам организация обязана получить письменное согласие этого сотрудника. Без письменного согласия сотрудника его персональные данные могут быть переданы третьим лицам тогда, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, и в других случаях, предусмотренных федеральными законами. Такие правила установлены частью 1 статьи 88 Трудового кодекса РФ.

В Трудовом кодексе РФ не содержится требований к содержанию письменного согласия на передачу данных. Однако пунктом 1 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ установлено, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Из этого следует, что организация должна запрашивать у сотрудника письменное согласие на каждый случай передачи его персональных данных третьему лицу. Лишь при таких условиях требование о конкретности и сознательности согласия может считаться выполненным. Перечень сведений, которые должны содержаться в письменном согласии на передачу персональных данных, установлен в пункте 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ.

Обработка персданных исполнителей по гпд

Вопрос из практики: нужно ли получать письменное согласие на обработку персональных данных граждан, с которыми заключены гражданско-правовые договоры

Да, в общем случае нужно, в том же порядке, как и со штатными сотрудниками.

Обработка персональных данных возможна только с письменного согласия субъекта персональных данных, за исключением отдельных случаев, когда такая обработка возможна и без их согласия (). При этом субъектами персональных данных могут быть как сотрудники, работающие по трудовому договору, так и граждане, с которыми у организации заключены гражданско-правовые договоры.

Таким образом, организация в общем случае должна получить согласие на обработку персональных данных в том числе и граждан, с которыми заключены гражданско-правовые договоры, чтобы исключить любые споры по поводу несанкционированной передачи данных за пределами действия условий гражданско-правового договора.

Отказ исполнителя давать такое согласие, это не является препятствием для заключения гражданско-правового договора.

Обработка данных без согласия

В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника. Например, если обработка персональных данных необходима в целях исполнения заключенного с сотрудником договора либо для достижения целей, предусмотренных законом для осуществления и выполнения возложенных законодательством России на оператора функций, полномочий и обязанностей, - она может осуществляться без согласия сотрудника - субъекта персональных данных. Об этом сказано в Закона от 27 июля 2006 г. № 152-ФЗ.

К таким случаям относится передача сведений в:

• Пенсионный фонд РФ ();
• налоговые органы ();
• военные комиссариаты ();
• иные органы, когда обязанность передачи им сведений, относящихся к персональным данным сотрудника, закреплена за работодателем законом либо необходима для достижения установленных законом целей (например, суды, прокуратуру и т. п.).

Кроме того, согласие не требуется в следующих случаях:

• обязанность по обработке предусмотрена законодательством, в том числе опубликование и размещение персональных данных сотрудников в сети Интернет (например, Законом от 21 ноября 2011 г. № 323-ФЗ , Законом от 9 февраля 2009 г. № 8-ФЗ и рядом иных актов);
• проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
• обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
• обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
• обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Если же в локальном документе предусмотрены варианты расчетов с сотрудниками или вообще данный момент не прописан, то сотрудники вправе самостоятельно решить, получать им зарплату через кассу или на банковскую карту. И если работодатель решит всем сотрудникам перечислять зарплату на банковские карточки, то у каждого сотрудника следует запросить согласие на обработку персональных данных и их передачу третьей стороне - банку. В такой ситуации сотрудники вправе не давать согласие, а работодатель при отсутствии такого согласия не сможет продолжить обработку данных и передать банку информацию о тех сотрудниках, которые ответили отказом.

Еще по теме: Нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты.

Вопрос из практики: нужно ли повторно получать согласие сотрудников на обработку персональных данных при смене банка для перечисления зарплаты

Нет, не нужно, при условии, что в уже имеющихся согласиях не был указан конкретный банк, в который предоставляли данные. Если же предыдущее согласие было составлено под конкретный банк, то работодателю придется получить новое согласие по общим правилам ().

Кроме того, получать согласие не нужно, если в локальных документах организации предусмотрена выплата зарплаты именно на банковские карты и сотрудник при приеме или в процессе работы был ознакомлен с этими документами (ч. 2 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ). См. подробнее.

Уведомление Роскомнадзора

Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных:

• обрабатываемых в соответствии с трудовым законодательством;
• сделанных сотрудниками общедоступными;

• полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
• относящихся к членам (участникам) общественного объединения или религиозной организации;
• включающих в себя только фамилии, имена и отчества сотрудников;
• необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ().

Вопрос из практики: что следует понимать под обработкой персональных данных сотрудника

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме .

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

• уничтожение;
• изменение;
• блокирование;
• копирование;
• предоставление;
• распространение;
• иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер , утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21 .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

Положение о персональных данных

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников . Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников .

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Вопрос из практики: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8?16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 .

Вопрос из практики: можно ли не работающим в службе персонала сотрудникам предоставить право доступа к персональным данным других сотрудников

Да, можно, если доступ к таким сведениям необходим сотрудникам для выполнения определенных трудовых функций.

Доступ к персональным данным сотрудников могут иметь только специально уполномоченные лица, которым такой доступ необходим для выполнения конкретных функций. Об этом говорится в Трудового кодекса РФ.

Как правило, доступ к персональным данным сотрудников в силу специфики деятельности должны иметь:

• сотрудники службы персонала;
• сотрудники бухгалтерии;
• генеральный директор и при необходимости его заместители;
• руководители подразделений и непосредственные руководители.

При этом каждой из указанных категорий сотрудников устанавливается свой уровень доступа. Так, например, сотрудникам бухгалтерии может быть предоставлен доступ в части адресных данных сотрудников и их семейного положения, руководителям подразделений - в части персональных сведений исключительно по своим подчиненным.

Уровни доступа тех или иных лиц, а также конкретный порядок передачи персональных данных сотрудников внутри организации должен быть прописан в ее локальных документах, например в Положении о защите персональных данных сотрудников (абз. 5 ст. 88 ТК РФ). Уполномоченные лица должны быть ознакомлены с положениями документа и предупреждены о своих правах и обязанностях, а также об ответственности за использование сведений не по назначению ().

Совет: условия о размещении персональных данных сотрудников на корпоративном сайте пропишите в Положении о работе с персональными данными . При этом к нему составьте приложение , в котором укажите список сотрудников согласных (или несогласных) на размещение персональных данных. Таким образом, требование будет выполнено, и организация сможет разместить персональные данные сотрудников, согласных с таким размещением, на корпоративном сайте.

В целях обеспечения прав своих сотрудников организация и ее представители при обработке персональных данных обязаны соблюдать требования, регламентируемые Трудового кодекса РФ. Лица, виновные в нарушении норм, регулирующих защиту персональных данных, привлекаются к административной и уголовной ответственности (). Или могут быть уволены с формулировкой «за разглашение персональных данных другого сотрудника на основании подпункта «в» пункта 6 части 1 статьи 81 Трудового кодекса РФ».

Вопрос из практики: вправе ли руководитель структурного подразделения требовать от бухгалтерии предоставления ежемесячной информации о начисленной зарплате подчиненных ему сотрудников

Сведения о начисленных сотрудникам суммах относятся к персональным данным (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Непосредственный руководитель может их запрашивать, если соответствующий допуск установлен в локальном нормативном акте и получено согласие сотрудника на обработку его персональных данных.

Вместе с тем, информацию об окладах и надбавках сотрудников содержит штатное расписание. Штатное расписание является локальным документом организации и к персональным данным не относится. Руководитель структурного подразделения при необходимости может обращаться к данному документу, если это предусмотрено должностной инструкцией руководителя или локальным актом организации. Это позволит ему получить необходимые сведения без обращения в бухгалтерию.

Отказ на обработку данных

Вопрос из практики: как поступить, если человек отказывается давать согласие на обработку его персональных данных

Организация вправе продолжать обрабатывать персональные данные человека без его согласия при наличии определенных оснований. При этом объем такой обработки достаточно велик и позволяет организации осуществлять текущую деятельность без нарушений.

В частности, работодатель может не требовать согласия на обработку персональных данных у соискателей для заключения трудового и гражданско-правового договора, направления персонифицированной отчетности в органы Пенсионного фонда РФ, налоговой отчетности в ФНС России, сведений о военнообязанных в военные комиссариаты, а также для хранения документов с персональными данными, в том числе трудовых и гражданско-правовых договоров, личных карточек, личных дел, и т. д. То есть когда работодатель исполняет возложенные на него законодательством обязанности.

Такие правила установлены в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

Для осуществления всех иных действий организации необходимо получать согласие человека на обработку его персональных данных (ч. 4 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

Внимание: действующее законодательство не обязывает человека давать согласие на обработку персональных данных, поэтому отказ с его стороны нельзя считать нарушением и основанием для отказа в заключении договора. Штатный сотрудник также не может быть уволен или привлечен к иной дисциплинарной ответственности за отказ от предоставления согласия на обработку персональных данных.

Вопрос из практики: как поступить, если сотрудник отказывается предоставлять персональные данные членов семьи для заполнения кадровых документов

Под обезличиванием персональных данных понимают действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку ().

В случае необходимости обезличивания персональных данных руководители организаций утверждают:

• правила работы с обезличенными данными;
• перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

Такие правила предусмотрены в подпункте «б» пункта 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211 .

Конкретные требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах, установлены в Требованиях и методах , утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996 .

Основным требованием к обезличиванию персональных данных является обеспечение не только защиты от несанкционированного использования, но и возможности их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных. К таким свойствам, в частности, относятся:

• полнота, то есть сохранение всей информации о конкретных людях или группах людей, которая имелась до обезличивания;
• структурированность, то есть сохранение структурных связей между обезличенными данными конкретного человека или группы людей, которые имелись до обезличивания;
• применимость, то есть возможность решения задач обработки персональных данных без предварительного обезличивания всего объема записей о людях;
• анонимность, то есть невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Основными требованиями к методам обезличивания персональных данных являются:

• обеспечение требуемых свойств обезличенных данных;
• соответствие предъявляемым требованиям к характеристикам методов;
• реализация методов в различных программах;
• решение поставленных задач обработки персональных данных.

К наиболее перспективным и удобным для практического применения относят следующие методы обезличивания:

• метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;
• метод изменения состава или семантики, то есть изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;
• метод декомпозиции, то есть разбиение массива персональных данных на несколько частей с последующим раздельным хранением;
• метод перемешивания, то есть перестановка отдельных записей, а также групп записей в массиве персональных данных.

Коммерческие организации в целях безопасности работы с персональными данными работников также вправе, но не обязаны заниматься обезличиванием (п. 3 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). Если организация решит обезличивать персональные данные, то конкретный метод обезличивания нужно закрепить в локальном акте, например в Положении о работе с персональными данными сотрудников (ст. , ТК РФ, ).

Проверки соблюдения требований к обработке персональных данных

Как проводятся проверки соблюдения требований к обработке персональных данных

Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор. Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

Предметом контроля деятельности работодателя по обработке персональных данных являются:

• документы, характер информации в которых предполагает или допускает включение в них персональных данных;
• информационные системы персональных данных;
• деятельность по их обработке.

Роскомнадзор осуществляет как плановые, так и внеплановые проверки в форме документарных или выездных ( Закона от 26 декабря 2008 г. № 294-ФЗ). Права и обязанности должностных лиц Роскомнадзора при проведении проверок определен, соответственно, пунктами и Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312 .

Сроки проверки деятельности работодателя по обработке персональных данных при проведении как плановой, так и внеплановой проверки не могут превышать 20 рабочих дней. При этом для субъектов малого предпринимательства общий срок выездных плановых проверок не может превышать в год:

• 50 часов - для малого предприятия;
• 15 часов - для микропредприятия.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на 20 рабочих дней, а для малых и микропредприятий - не более чем на 15 часов. Это возможно, если в ходе осуществления проверки возникнет необходимость в проведении:

• сложных и длительных исследований, испытаний;
• специальных экспертиз и расследований.

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП - на сумму от 5000 до 20 000 руб., организацию - на сумму от 15 000 до 75 000 руб. Подробнее о том, каковы штрафы за нарушения в работе с персональными данными, см. в таблице .

Такие меры ответственности предусмотрены статьями и Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

• собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

• штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

• штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Вопрос из практики: можно ли в трудовых договорах сотрудников предусмотреть условие о неразглашении конфиденциальной информации

Да, можно.

Но только в отношении тех сотрудников, которые непосредственно работают с персональными данными: кадровиков, менеджеров по персоналу, секретарей (). В этом случае при приеме на работу ознакомьте сотрудника с Положением о работе с персональными данными.

Вопрос из практики: можно ли сообщать сведения о работе сотрудника в организации по телефону представителям других компаний, например банков

Да, можно, но только с письменного согласия самого сотрудника.

Под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному физическому лицу (субъекту персональных данных) (ч. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ). При этом перечень персональных данных не является исчерпывающим, то есть любая информация, относящаяся к определенному лицу, является его персональными данными. Таким образом, место работы и сам факт работы, запрашиваемые у организации, например, кредитной организацией для подтверждения факта работы или потенциальным работодателем о бывшем сотруднике, являются персональными данными. Поэтому передавать данные о сотруднике другим организациям можно только с соблюдением общих требований об обработке персональных данных, то есть только с согласия самого сотрудника (п. 3 ч. 1 ст. 86 ТК РФ , ).

Таким образом, предоставлять сведения о факте работы сотрудников по телефону неустановленным лицам, в том числе представляющимися специалистами банка, можно, но только с письменного согласия самого сотрудника, независимо от того, продолжает он работать в организации или уже уволился.

Вопрос из практики: обязан ли работодатель по запросу службы судебных приставов сообщать о факте работы в организации сотрудника-должника

Факт работы в организации относится к персональным данным сотрудника. Судебный пристав-исполнитель, ведущий исполнительное производство, вправе запрашивать у организации сведения о сотрудниках, в отношении которых состоялись судебные решения об уплате алиментов или иных видов присужденных платежей, в том числе и сведения, относящиеся к персональным данным. Данный запрос работодатель игнорировать не вправе. Такие правила установлены Закона от 2 октября 2007 г. № 229-ФЗ.

При этом работодатель вправе сообщать о факте работы в организации сотрудника-должника без его согласия о передаче персональных данных третьим лицам, так как в данном случае обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, подлежащего исполнению в соответствии с законодательством России об исполнительном производстве (п. 3 ч. 1 ст. 6 , п. 6. ч. 2 ст. 10 , ч. 2 ст. 11 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, работодатель обязан отреагировать на запрос службы судебных приставов о факте работы сотрудника-должника. Получать согласие сотрудника на пер

Отвечает Маргарита Орлова,

руководитель департамента администрирования страховых взносов ФСС России

«Чтобы подтвердить основной вид деятельности по обособленному подразделению, которое платит взносы самостоятельно, подайте те же документы, что и в целом по организации. Разница лишь в том, что в них отразите сведения только по подразделению и подадите их в отделение ФСС по месту учета такого подразделения. Как платить взносы, пока не получили из ФСС уведомление о тарифе на текущий год – узнаете в рекомендации.»

Деятельность любой организации неизбежно подразумевает обработку персональных данных в информационной системе (ИСПДн). Каждое предприятие, использующее конфиденциальную информацию о сотрудниках, клиентах, партнерах и других физлицах, обязано пройти регистрацию в качестве оператора персональных данных.

Порядок хранения и защиты персональных данных

Организация защиты конфиденциальных сведений проходит в несколько этапов:

• Проверка начальных работ по обработке персональных данных (ревизия локальной нормативной базы, анализ информационных потоков ПДн и ИСПДн в целом, выявление недостатков и угроз безопасности информационной системы, внесение предложений по исправлению недостатков, улучшению систем защиты персональных данных).
• Разработка нормативной базы по защите ПДн. Данный этап включает в себя классификацию ИСПДн и регистрацию в качестве оператора персональных данных в Роскомнадзоре.
• Проектирование системы защиты ПДн – выбор способов, мер и классов средств защиты ПДн, разработка технической документации на создание СЗПДн, а также разработка конкретных мероприятий по защите информации в каждой конкретной ИСПДн.
• Внедрение СЗПДн – ввод в действие систем защиты ПДн и настройка существующих средств защиты ИСПДн.
• Оценка соответствия ИСПДн, в рамках которой проводятся оценочные испытания ИСПДн и выдается соответствующий Аттестат.

Регистрации в качестве оператора персональных данных в Реестре Роскомнадзора является частью общего процесса организации обработки и защиты ПДн.

Этапы регистрации оператора ИСПДн в Роскомнадзоре

Регистрация оператора ИСПДн включается в себя следующие этапы:

• Разработка и принятие нормативной базы по обработке и защите ПДн.
• Заполнение формы уведомления о намерении осуществлять обработку персональных данных на сайте территориального органа Роскомнадзора.
• Отправка уведомления в информационную систему Уполномоченного органа по защите прав субъектов персональных данных.
• Печать заполненной формы с подписями.
• Направление распечатанной формы уведомления в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.

Предлагаем вам составить документы, необходимые для регистрации в качестве оператора персональных данных, с помощью нашего онлайн-сервиса. На этой странице представлены акты, инструкции, положения, журналы, уведомления и другие документы.

С этим шаблоном часто используют: Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных Согласие на передачу персональных данных третьим лицам Перечень персональных данных, подлежащих защите в ИСПДн Защита персональных данных в образовательных учреждениях

Популярные документы и процедуры:

Регистрация оператора персональных данных внутреннего пользования

п. 4 - обязательно это нужно делать каждому юр. лицу или ИП, если он предполагает обработку перс данных сотрулников и клиентов?

мы компания, которая создала и обсуживает систему где присутствуют персональные данные клиентов заказчика, набор этих документов нам не подходит, больше подходит когда работадатель данные сотрудников своих обрабатывает, но то же не совсем.

Здравствуйте! есть несколько вопросов по настройке шаблонов. 1) Скажите пожалуйста, как настроить шаблоны системы ИСПДн, чтобы классифицировать систему под актуальные угрозы 1 типа и необходимость обеспечения 1-го уровня защищенности. Будут ли в этом случае, предлагаемые шаблоны согласованы между собой? 2.) Возможно ли предзаполнение всех документов системы (28 документов) первоначально вводимыми данными (наименование юр. лица, категории персональных данных), или требуется их вводить каждый раз при заполнении отдельного документа системы?

Уточните, пожалуйста, какой минимально возможный уровень защищенности ПДн можно оформить на базе Ваших шаблонов? (мы заинтересованы в минимизации расходов на систему. обрабатываться будут ПДн работников и контрагентов. Специальные категории ПДн и биометрические данные не обрабатываем)

Здравствуйте! Мы заинтересованы использовать механизм ведения и учёта заданий в рамках трудовых обязанностей своих работников, путём регистрации учётной записи (личного кабинета) с именем работника (имя пользователя) и предоставления уникальных идентификатора (логина) и пароля к данной записи, как рекомендуется в Вашем шаблоне «Регламент интеллектуальной собственности», п. 6.2. При этом, в п. 6.4 упомянутого Регламента интеллектуальной собственности указывается, что все адреса корпоративной электронной почты и все логины или имена пользователей в Программных инструментах указываются в особом внутреннем документе, утверждаемом Генеральным директором Общества, который обновляется и доводится до сведения всех сотрудников Общества по мере необходимости, т.е. данные раскрываются другим лицам. Просим разъяснить следующие вопросы: 1.) относятся ли к персональным данным (и если да, то к какой категории), данные учётной записи (личного кабинета) с именем работника (именем пользователя) и уникального идентификатора (логина) и пароля работника во внутренней системе Оператора, адрес электронной почты работника во внутренней системе Оператора? 2.) если такие данные относятся к персональным данным, то будут ли особенности использования их в Ваших шаблонах по ИСПДн (не повлечет ли это необходимости приобретения криптографических средств защиты и т.п.)?

Здравствуйте! Согласно законодательства не надо уведомлять регулятора при обработке персональных данных, обрабатываемых в соответствии с трудовым законодательством. А как быть с кандидатами, не принятыми на работу? Их данные остались, мы их имеем право хранить без уведомления регулятора? Например, если кандидат не выдержал испытательный срок(здесь очевидные трудовые отношения). Или, к примеру, даже не был допущен к испытанию? Просто эти данные нам сегодня не нужны, а завтра мы подняли анкету, пригласили человека и трудоустроили. Будет ли это диспозиция 86 статьи ТК в части "обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве" и соответственно может осуществляться без ведома регулятора?

Здравствуйте. Пакет документов по обработке данных разработан для работников или контрагентов?

А заполнять документы нужно онлайн или после скачивания просто в ВОРДЕ?

Здравствуйте! Если вы обрабатываете ПДн своих сотрудников или клиентов, то защитить их нужно обязательно. Нужно разработать правильный комплекс локальных нормативных актов, представленных в процедуре, а также обеспечить технические меры, если обработка осуществляется в автоматизированном или частично автоматизированном режиме, и организационные. Исключение касается только подачи уведомления в Роскомнадзор для регистрации в качестве оператора персональных. Все эти исключения прописаны в статье 22 п.2 152-ФЗ. Самые часто встречающиеся исключения - это обработка ПДн сотрудников в рамках трудового законодательства, обработка ПДн клиентов в рамках исполнения договора (например, чтобы поставить товар клиенту нужно знать его адрес, данные паспорта).

Здравствуйте! Согласно п. 2 ст. 3 Закона № 152-ФЗ, под оператором персональных данных понимается, в частности, юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ).Таким образом, если при выполнении Вами работ по обслуживанию сайта Вы осуществляете какое-либо одно или совокупность действий перечисленных выше, - согласно закону Вы являетесь оператором персональных данных, со всеми вытекающими отсюда обязанностями. Закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, а получили ПДн от другого оператора. Оператор – тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ № 152 действий с ПДн. И в таком случае рекомендуем придерживаться процедуры: http://www..Благодарим Вас за использование сервиса!

Здравствуйте! Вам необходимо ответить на вопросы опросного листа в левой части страницы – пакет необходимых документов сформируется автоматически. Если введенное в каком-либо документе значение – идентично для другого документа в общем пакете, то оно автоматически заполниться в этом документе. Шаблоны документов подойдут для обеспечения 1-го уровня защищенности ПД. Обращаем Ваше внимание на то, что помимо разработки документации, необходимо также разработать и внедрить технические меры защиты. Состав и содержание таких «базовых» мер определен в приказе ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».Благодарим за использование нашего сервиса!

см. ответ ниже

Здравствуйте!Персональными данными является любая информации, позволяющая безошибочно идентифицировать физическое лицо (по смыслу ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных"). В данном случае, отдельно взятые адреса корпоративной электронной почты и логины или имена пользователей являются персональными данными работников, которые необходимы работодателю в связи с трудовыми отношениями, что само по себе не влечет за собой особенностей применения специального режима защиты (с учетом соблюдений требований, установленных главой 14 ТК РФ). Рекомендуем Вам ознакомиться с процедурой, расположенной по ссылке: http://www.. Благодарим за использование нашего сервиса!

Здравствуйте. Работодатель вправе без уведомления Роскомнадзора обрабатывать персональные данные кандидатов на должности, сохранять их резюме, формируя как бумажную, так и электронную базу соискателей, если имеется их письменное согласие. Данный вывод основан на том, что согласно п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», без уведомления уполномоченного органа может производиться обработка данных, обрабатываемых в соответствии с трудовым законодательством.Персональные данные соискателей могут храниться в базе у работодателя, если на то дано письменное согласие кандидата и указан срок такого хранения. Что касается бывших работников (как не выдержавших испытание), полагаем, что если ТК РФ или иными законами на работодателя не возлагается обязанность обрабатывать данные бывших работников, то такая обработка должна осуществляться только с уведомлением Роскомнадзора (если отсутствуют иные основания для обработки персональных данных без подачи уведомления, например, обработка персональных данных без использования средств автоматизации). Рекомендуем уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

22 статья 152-ФЗ почитали. Но поскольку не со всеми соискателями, ПДн которых мы собираем, мы вступаем в трудовые отношения(принимаем на испытание или хотя бы приглашаем на собеседования), Роскомнадзор уведомлять все-таки надо в этом случае

Здравствуйте. Обработка персональных данных соискателей тоже ведется в рамках трудового законодательства. Согласно позиции Четвертого арбитражного апелляционного суда, основание, предусмотренное п.1 ч. 2 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», распространяется и на деятельность по подбору персонала (Постановление от 07.02.2018 N 04АП-127/2018 по делу N А19-17054/2017). Это связано с тем, что трудовое законодательство регулируется не только Трудовым кодексом РФ, но и иными нормативными актами. Так, Федеральным законом от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации" предусмотрено, что работодатели содействуют политике занятости, в частности, путем трудоустройства. Полагаем, что письменного согласия соискателя на хранение определенных его данных в течение оговоренного в согласии срока будет достаточно для соблюдения законности в данной сфере. Уведомлять Роскомнадзор нет необходимости. Тем не менее, во избежание споров, рекомендуем все же уточнить этот вопрос в уполномоченном органе. Благодарим за ваше обращение.

Спасибо! Почитал судебное решение. Вопрос скользкий. Это судебное решение говорит о том, что позиция Роскомнадзора-уведомлять, но АС Иркутской области вместе с апелляцией встали на сторону юрлица. Учитывая известность позиции Роскомнадзора встанет ли АС нашего региона на нашу сторону неизвестно. Поэтому-таки направили письмо с вопросом.

Здравствуйте. Благодарим за ваш отклик. Было бы интересно и полезно увидеть итог вашего обращения на странице нашего обсуждения. С уважением, компания FreshDoc.

Я обязательно отпишусь, как они ответят! Ваши советы очень помогли мне в выработке правовой позиции по этому вопросу)

Написал. Как Вы думаете что ответили? Ни-че-го! То есть конечно, ответили, но ни о чем. Суть письма сводится к тому, что решать вам подавать уведомление или нет. Я хотел добиться, чтобы на случай проверки у меня был их ответ, но не получилось. А прикрываться решением суда другой области.. У нас пока что не англо-саксонская правовая система, а континентальная и для меня основной вывод из мотивировочной части решения суда, это видение Роскомнадзора, а встанет ли наш краевой суд на нашу стороу, как встал в Иркутске неизвестно

Здравствуйте. Спасибо за ваш отклик. Наличие ответа Роскомнадзора не является гарантированной защитой от привлечения к ответственности. Для суда мнение ведомства, каково бы оно ни было, также не имеет решающего значения. Рекомендуем составить свое мотивированное мнение, и по возможности, заручиться подходящими ко случаю судебными актами. С уважением, компания FreshDoc.

В любом случае хоть Уведомление, хоть нет, а требования статей 18.1, 19 ФЗ-152 обязан исполнять любой оператор при обработке ПДн: назначать ответственное лицо, разрабатывать и утверждать политику и положение о ПДн и т.д. Тем более, Роскомнадзор проводит Плановые проверки в отношении всех операторов, а не только в отношении включенных в реестр Роскомнадзора по Уведомлению

Здравствуйте. Да, принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора ПДн в независимости от наличия/отсутствии его в реестре операторов (направления в Роскомнадзор уведомления). При этом для выполнения требований, предусмотренных ст. 22 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных", оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПДн, в противном случае ему грозит штраф, предусмотренный ст. 19.7 КоАП РФ.

Здравствуйте. Круг субъектов персональных данных установлен в разделе 3 «Персональные данные, обрабатываемые в ИСПДн» Положения об обработке и защите персональных данных, которое входит в пакет документов и находится по ссылке https://www.сайт/?oid=7086347. В нем, в частности, установлено, что обрабатываются данные следующих субъектов: сотрудники Оператора; акционеры/учредители Оператора, лица связанные с сотрудниками, акционерами, учредителями (дети, в отношении которых выплачиваются алименты, жены, и т.д.); клиенты (потребители услуг Оператора); индивидуальные предприниматели - контрагенты Оператора; клиенты организаций, контрагентов Оператора (обслуживание корпоративных клиентов). Также установлено, что данный перечень может пересматриваться. Благодарим вас за обращение.

Заполнить документы можно прямо на сайте.