Сроки обработки персональных данных

Содержание

О сроке действия согласия клиента на обработку его персональных данных и о разрешении на использование его фотографии

Хотя закон «О персональных данных»1 у нас существует уже давно, до сих пор многие организации не разобрались в особенностях его применения и регулярно получают предписания от Роскомнадзора по устранению недостатков в своей работе.

Так произошло и с ГОУП «Учебно-спортивный центр» Комитета по физической культуре и спорту Мурманской области, который собирал от своих клиентов согласия на обработку их персональных данных (ПД). Но сотрудники Роскомнадзора нашли в них недочеты:

  • не указан срок, в течение которого действует согласие субъекта персональных данных (нарушение п. 8 ч. 4 ст. 9 Закона № 152-ФЗ);
  • нет разрешения клиента на использование его биометрических данных, хотя на пропуска в бассейн наклеиваются фотографии (нарушение ч. 1 ст. 11 Закона № 152-ФЗ).

«Учебно-спортивному центру» было выдано предписание на устранение этих нарушений, но он посчитал это незаконным и обратился в арбитражный суд. Дело рассматривало несколько инстанций. И вот что получилось.

Сначала разберемся со сроком действия согласия клиента на обработку его ПД:

  • оно вступало в силу со дня подписания и действовало в течение неопределенного срока,
  • при этом могло быть отозвано клиентом письменным заявлением в произвольной форме.

Роскомнадзору не понравилось отсутствие конкретного срока действия согласия, это сочли нарушением п. 8 ч. 4 ст. 9 Закона № 152-ФЗ. Но Арбитражный суд Мурманской области (рассмотрел дело № А42-342/2017 в апреле 2017 года) посчитал иначе:

  • данная норма Закона не предусматривает указания в согласии конкретного срока, в течение которого оно действует, и предельный срок действия такого согласия также не установлен законодателем;
  • в рассматриваемом случае срок действия согласия определен началом его действия (со дня подписания) и заканчивается моментом письменного отзыва в произвольной форме – этого вполне достаточно.

Тринадцатый арбитражный апелляционный суд в июле 2017 года к этому добавил:

  • указание точного срока действия согласия субъекта ПД на их обработку в привязке к конкретному временному периоду или календарной дате в данном случае невозможно, поскольку «Учебно-спортивный центр» не в состоянии заранее с достоверностью определить, до какой календарной даты конкретный человек пожелает посещать плавательный бассейн и будет это делать.

А вот относительно использования фотографий клиентов и получения на это их согласия суды были не столь единодушны.

Арбитражный суд Мурманской области расценил так:

  • в соответствии с Положением о порядке посещения плавательного бассейна для различных категорий населения в рамках Государственной программы Мурманской области «Развитие физической культуры и спорта» на 2014–2020 годы, утвержденным председателем Комитета по физической культуре и спорту Мурманской области, граждане предоставляют «фотографию на пропуск», которая размещается на документе «Пропуск» для установления личности посещающих бассейн;
  • фотографические изображения, содержащиеся на пропусках, являются биометрическими персональными данными, т.к. рядом указываются фамилия, имя, отчество клиента, позволяющие его идентифицировать;
  • таким образом, для использования фотографического изображения на пропуске с указанием фамилии, имени и отчества требуется письменное согласие субъекта биометрических ПД;
  • однако на копиях пропусков, приложенных к Справке Роскомнадзора о результатах осуществления государственного контроля и надзора, отсутствовали фотографии клиентов. На этом основании суд первой инстанции признал претензии Управления Роскомнадзора по Мурманской области необоснованными.

Потом Тринадцатый арбитражный апелляционный суд посчитал несостоятельным вывод суда первой инстанции о недоказанности факта обработки фотографий клиентов «Учебно-спортивным центром». Ведь тот не отрицал исполнение Правил посещения бассейна, а настаивал в суде на необязательности получения письменного согласия посетителей на использование их фотографий на бумажных пропусках. В результате вторая и последующие судебные инстанции2 согласились с требованием Роскомнадзора к «Учебно-спортивному центру» о том, что в согласии каждого клиента должно быть отражено его разрешение на использование фотографии на пропуске в бассейн. Верховный Суд РФ определением от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017 отказал «Учебно-спортивному центру» в передаче кассационной жалобы для рассмотрения ВС РФ.

Какие выводы стоит сделать из этой истории? Во-первых, на использование фотографий клиентов, конечно же, надо брать их согласие. Во-вторых, в данном деле суды вставали на сторону организации, которая оставила «открытым» период обработки персональных данных клиентов. Изложенную при рассмотрении дела в суде аргументацию вы можете взять себе на вооружение, если захотите поступать аналогично, т.к. сбор и грамотная обработка информации о своих клиентах часто становится залогом процветания бизнеса.

Сноски

Свернуть Показать

  1. Имеется в виду Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ). Вернуться назад

  2. Арбитражный суд Северо-Западного округа в ноябре 2017 года и Верховный Суд Российской Федерации в марте 2018 года. Вернуться назад

>Какие оптимальные сроки хранения и обработки персональных данных? Сколько действует согласие субъекта?

Что выбрать: время хранения или условия прекращения?

Закон позволяет выбрать либо конкретный период хранения данных, либо ограничить обработку наступлением определенного условия. Однако на оператора налагаются обязанности обязательно ограничить обработку данных по времени.

Юристы советуют использовать конкретный период прекращения обработки только в том случае – если сведения необходимы оператору для ограниченной цели.

Например, на сайте интернет-магазина проводится анкетирование, субъекту ПДн предлагается указать область проживания, покупки за последний год, возраст, ФИО и так далее. Магазин планирует использовать сведения для статистического анализа своей успешности за последний год. После завершения анализа, сведения ему больше не понадобятся и будут ликвидированы.

При составлении такого договора учитывается то, что на проведение анализа понадобится шесть месяцев. После этого интернет-магазин прекращает обработку данных, выполнив цель, с которой они были собраны. Для похожих прецедентов есть и другой вариант – установить условие завершения обработки, например, указать, что после проведения аналитических работ сведения прекратят обрабатывать.

Комбинированный вариант «условие + дата» используется довольно часто. Возьмем адвокатскую контору, планирующую хранить сведения о клиентах два года с момента последнего обращения. Тут присутствует сразу два критерия – два года (конкретный период) и определенное условие – отсутствие обращения в адвокатскую организацию.

Медицинские учреждения в нашем государстве, как правило, не ограничивают себя четкими сроками, поскольку законодательство обязывает их хранить сведения, касающиеся сферы здравоохранения, довольно долго. Закон дает возможность операторам выбирать, как именно устанавливать период – определяя временной отрезок обработки или событие, наступление которого будет означать прекращение обработки конфиденциальных сведений.

Оговариваемые периоды

Сколько действует согласие работника, клиента, пациента?

Независимо от сферы деятельности оператора, он обязан взять у субъекта персональных данных разрешение и указать период его действия.

Согласно положению 8 статьи 9 Федерального закона, принятого 27 июля 2006 года, «О персональных данных», согласие на обработку работника, пациента или клиента в обязательном порядке должно включать в себя срок действия и способ отзыва разрешения.

Оператору предоставляется также два способа обозначить период действия разрешения субъекта – вписав четкую дату или воспользовавшись стандартной в юридической практике фразой: «Настоящее согласие действует с момента подписания и до дня отзыва». Желательно продумать и способ подачи отзыва, например, только в письменной форме.

Сколько должны храниться ПДн?

Подразумевается, что хранение оператор организует на период, необходимый для обработки ПДн.

Также важно, что в некоторых случаях фирма не работает со сведениями постоянно, и хранение сопряжено с задачей обеспечить доступ к персональным материалам в любое удобное время и в форме, делающей возможной их обработку.

В документации оператор обозначает сроки хранения, а также операцию, которая будет проведена после выполнения цели – обезличивание информации либо ее уничтожение. Отметим, что под обезличиванием сведений подразумевается перевод материалов в форму, не позволяющую распознать к кому она точно относится.

Какой период отводится на обработку?

Обработка данных непосредственно связана с хранением ПДн, ведь именно хранение обеспечивает доступ к данным с целью их обработки. В законе «О персональных данных» сказано, что оператор должен установить единый период для обеих операций. Если обработка прекращается с наступлением некоторого события, то оператор берет на себя обязанности в дальнейшем не хранить сведения.

Оператор не может указывать разные сроки или условия для прекращения хранения и обработки. Если хранение, например, прекращается после двух лет, то и обработка не может больше проводиться – по техническим причинам. Точно так же и период обработки связан с хранением.

Предположим, предприятие взяло на себя обязанности обрабатывать сведения на протяжении одного года, если после наступления этого срока он продолжит хранить информацию – значит нарушит условия соглашения с физическим лицом.

Хранение является операцией, входящей в понятие «обработка» и, более того, делает ее возможной и комфортной.

Возможно ли продление действия соглашения?

Оператор имеет право продлевать любой из периодов, указанных выше, но для этого компании следует выполнить несколько требований. Условия и нюансы продления срока прописываются в «Политике в отношении обработки персональных данных». Субъект ПДн, согласно действующему законодательству, имеет право в любой момент ознакомиться с этим документом.

Еще одна особенность заключается в том, что продление периода обработки или хранения сопряжено с появлением иных целей, но не выходящих за рамки закона.

Другими словами, оператору разрешается менять сроки, имея на то основания и продолжая использовать конфиденциальную информацию только в рамках актуальных законодательных актов.

Компания, собирающая персональные данные, вправе выбрать как автоматическое продление, например, данного субъектом разрешения, так и ручное (с дополнительным уведомлением). При этом, физическое лицо, владеющее информацией, не лишается возможности в любой момент отозвать согласие.

Как видите, профильный закон в Российской Федерации устанавливает четкие требования относительно указания периодов и дат хранения и обработки ПДн. Вместе с тем, на операторов налагается обязанность уведомить субъекта о времени действия его собственного соглашения на обработку информации.

Сама продолжительность хранения – законом не регламентируется, к ней предъявляется только одно требование: хранить не дольше, чем требуется для достижения целей обработки.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Что такое

В Федеральном законе РФ “О персональных данных” отмечено, что любая информация, касающаяся прямо или косвенно определенного физического лица относится к персональным данным.

Это различные сведения о человеке: от ФИО, даты и места рождения до информации о доходах, здоровье и т.д.

Если обратиться к Трудовому кодексу РФ, то можно увидеть, что персональными данными считается информация, относящаяся к работнику и используемая работодателем в связи с трудовыми отношениями.

При поступлении на работу каждый сотрудник предоставляет организации (оператору) паспорт, военный билет, пенсионное свидетельство, ИНН и другие документы.

Поэтому, каждый работодатель, заключая с работником трудовой договор, становится обладателем сведений, относящихся к персональным данным.
И совершая любые действия с этими данными (например, сбор, запись, систематизацию, накопление, хранение и другие), предприятие осуществляет их обработку.

Персональные данные, с которыми приходится работать сотрудникам кадровой службы, носят конфиденциальный характер. Это означает, что лица, имеющие доступ к личной информации работников, без их разрешения или другого законного основания, не имеют права ее распространять.

Правила хранения персональных данных

ТК РФ обязывает каждого работодателя разрабатывать правила использования и хранения данных о персонале на своем предприятии, учитывая требования федеральных законов.

Принятые соответствующие нормы и правила, могут содержаться в локальном акте фирмы о персональных данных. Чаще всего, таким документом становится Положение о защите персональных данных работников, но не запрещается включать данный раздел в Правила внутреннего распорядка.

Каждого сотрудника необходимо ознакомить с данным нормативным актом, поскольку ТК РФ прямо указывает на права работников участвовать в разработке мероприятий по обеспечению безопасности персональных данных.

Для сохранения конфиденциальности персональных данных составляется список должностных лиц, имеющих к ним доступ, и разрабатывается форма документа, к примеру, «Соглашение о неразглашении», которое подписывают не только рядовые работники-исполнители (специалист по кадровой работе, бухгалтеры и др.), но и руководители подразделений, генеральный директор предприятия.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

  • все данные о сотруднике находятся в одном месте;
  • возможность четкой систематизации;
  • быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

  • высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
  • требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
  • необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Возможность проверить отчет ПФР предоставляемый в 2014 г. по новой форме расчета для начисленных и уплаченных взносов обязательного пенсионного страхования в ПФР, и страховым взносам в Фонд обязательного мед. страхования, имеется в программе CheckXML.

Отчетности в ПФР бояться не стоит, несмотря на большое количество кодов и регистрационных номеров, которые необходимо отразить в документах. О том, как правильно подготовить отчет в ПФР читайте .

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

  • поиск информации о сотруднике занимает много времени;
  • существует более высокий риск раскрытия конфиденциальной информации.

Хранение персональных данных в электронном виде

При таком способе хранении практически вся персональная информация хранится в электронном виде с использованием базы персональных данных и информационных систем.

Преимущества хранения информации на электронных носителях:

  • нет необходимости в дополнительных ресурсах;
  • экономится место и пространство;
  • высокая скорость и удобство работы с персональными данными;
  • повышенная степень защиты от несанкционированного доступа;
  • срок хранения не ограничен сроками;
  • не нужен большой архив.

Недостатки хранения информации в электронном виде:

  • необходимо иметь резервные копии базы данных персонала;
  • программное обеспечение и специальное оборудование стоит не дешево;
  • требуется администрирование информационной системы;
  • нужна высокая грамотность сотрудника, работающего с персональными данными.

Для того, чтобы защитить персональные данные, хранящиеся в электронном виде используют следующие методы:

  • внедрение разрешительной системы допуска персонала к конфиденциальной информации;
  • ограничение доступа сотрудников в помещения, где находятся технические средства, используемые для обработки личных данных;
  • четкая организация хранения и учета информационных носителей и другие.

Обезопасить себя от потенциальных претензий со стороны финансовых структур и исключить риски в ведении предпринимательской деятельности позволит проверка контрагента на добросовестность.

Есть специальные сайты, где Вы можете проверить контрагента по налоговой просто введя номер его ИНН в специальную графу и получить результат мгновенно. О том, как провести проверку по ИНН узнайте .

У каждого из рассмотренного способа хранения персональных данных работников на предприятии свои недостатки и преимущества. Часто на практике они сочетаются: ведутся и личные дела, и электронные базы данных персонала.

В любом случае работодатель должен иметь согласие работников на обработку их персональной информации.
Так же необходимо учитывать материальные возможности для обеспечения защиты и сохранности документов, трудозатраты и квалификацию персонала кадровой службы.>
Защита персональных данных

> Введение

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных .

Подача уведомления об обработке персональных данных

  • Уведомление об обработке (о намерении осуществлять обработку) персональных данных

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица .

Наименование оператора

Типичные ошибки :

  • не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН
  • несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая — номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов .

  • Конституция РФ (ст. 23-24, ч.1 ст.26);
  • Трудовой кодекс РФ (ст. 65, ст.85-90);
  • Гражданский кодекс РФ;
  • Закон РФ «Об образовании» от 10.07.1992 N 3266-1;
  • Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» (ст. 7-9);
  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ст.5-22);
  • Федеральный закон от 27.08.2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации» (ред. от 13.05.2008);
  • Федеральный закон от 22.09.1996 г. N 125-ФЗ «О высшем и послевузовском профессиональном образовании»;
  • Приказ Минобрнауки РФ от 21.10.2009 №442 «Об утверждении Порядка приема граждан в имеющие государственную аккредитацию образовательные учреждения высшего профессионального образования» (Зарегистрировано в Минюсте РФ 10.12.2009 №15495);
  • Приказ Минобрнауки РФ от 15.04.2009 №133 «Об утверждении Порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации» (Зарегистрировано в Минюсте РФ 29.06.2009 №14147)
  • Постановление Правительства РФ «Об утверждении Положения о воинском учете» от 27.11.2006 № 719 (разделы III, VI);
  • Устав учреждения … (утвержден приказом Министерства образования и науки Российской Федерации от …);
  • Лицензия от …, серия …, регистрационный номер …;
  • Положение об архиве … от …;

Цель обработки персональных данных

По сути, цель обработки — указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности .

  • удовлетворение потребностей личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования;
  • удовлетворение потребностей общества и государства в квалифицированных специалистах с высшим и средним профессиональным образованием, в научно-педагогических кадрах высшей квалификации;
  • подготовка, переподготовка и повышение квалификации работников с высшим образованием, научно-педагогических работников высшей квалификации, руководящих работников и специалистов по профилю вуза;
  • распространение знаний среди населения, повышение его образовательного и культурного уровня;
  • выполнение требований законов и других нормативных правовых актов РФ;
  • обработка персональных данных для целей кадрового делопроизводства;
  • обеспечение выполнения условий трудового договора;
  • выполнение требований закона о воинском учёте;
  • создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;
  • создание условий для начисления заработной платы, оплаты листков нетрудоспособности, пособий и предоставления льгот, установленных законодательством;
  • создание условий, требуемых законом для подготовки документов для присуждения учёной степени, присвоении учёного звания, прохождения конкурсного отбора.

Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве .

Категории субъектов, персональные данные которых обрабатываются

Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях .

  • Работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (соискатели должности; абитуриенты, студенты, бывшие струдники), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором);

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

  • сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), уничтожение.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах),
  • защита паролем компьютеров с персональными данными,
  • использование системы паролей при работе в сети (портале)
  • ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях .

  • Защита от несанкционированного физического доступа к информации (хранение ПД в закрытых шкафах, ящиках, сейфах), защита паролем компьютеров с персональными данными, использование системы паролей при работе в сети, ограничение доступа к компьютерной технике, использование межсетевых экранов.

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными .

  • Дата основания организации или дата присвоения ИНН.

Условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» .

  • Прекращение деятельности юридического лица.

Ссылки

  • Портал персональных данных Уполномоченного органа по защите прав субъектов персональных данных
Университет
Правила Памятка • Электронная почта • Интернет • Бесплатный интернет в читальном зале • Правила именования рабочих машин и подачи списка IP-адресов в Отдел телекоммуникаций • Правила оформления списка литературы • Правила электронной переписки
Бланки Заправка картриджа • Подключение компьютеров к локальной сети • Заявление СОТРУДНИКА для подключения к интернету и электронной почте • Заявление СТУДЕНТА для подключения к электронной почте • Видеосъемка силами Медиа-центра • Обеспечение техническими средствами обучения • Докладная о назначении уполномоченного по качеству
Почта Настройка почтовых клиентов • ЧаВО по работе с почтой • Документооборот на платформе CommuniGatePro • Сбор почты с внешних POP3 серверов •
IP-телефония Справочник IP-номеров • Настройка IP-телефонов • Настройка голосовой почты и переадресации звонков
Университетский портал Официальный сайт РГУ • Требования к содержанию и оформлению информационных материалов подразделений РГУ • Специфика «новостей» информационных агентств • Сервер точного времени ntp.rsu.edu.ru • Типичная настройка сети университета
Рекомендации Подключение к сети университета через VPN • Восстановление файлов на сетевом хранилище • Как создать документ PDF • Рекомендации по проведению видеоконференций • Рекомендации по телекоммуникационным узлам • Руководство по работе с сервером people.rsu.edu.ru • Миграция локальных учетных записей на доменные • • Правила именования документов • Правила электронной переписки • Создание обучающего курса в среде Moodle • Создание скриншота ошибки • Работа с самоподписным ssl-сертификатом

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов. Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Скачать образец согласия на обработку персональных данных

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Обратите внимание За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.