Должно ли быть у ИП положение о персональных данных

Информация о физлице, которую бизнесмен получает, принимая сотрудника на работу, относится к персональным данным, а значит, предприниматель должен выполнять требования Федерального закона о персональных данных от 27 июля 2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ), а также помнить о Трудовом кодексе, которым также оговаривается защита персональных данных сотрудника.

Персональные данные в рамках ТК РФ

Информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, относится к персональным данным. Получение, хранение, комбинирование, передача или любое другое использование персональных данных кодекс называет обработкой персональных данных работника (ст. 85 ТК РФ).

Все персональные данные работника следует получать у него самого. Если информацию можно получить только у третьей стороны, то сотрудника следует уведомить об этом заранее и от него следует получить письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение (п. 3 ст. 86 ТК РФ).

Положение о защите персональных данных

Персональные данные работника содержатся в различных документах (таблица). Задача коммерсанта – обеспечить защиту персональных данных работника от недобросовестного их использования кем-либо или утраты (п. 7 ст. 86 ТК РФ). Кроме того, нельзя забывать о требованиях Закона № 152-ФЗ, который также регулирует вопросы хранения и обработки персональных данных.

Никаких специальных систем и сейфов коммерсант приобретать не обязан. Трудовой кодекс предоставляет работодателю свободу: «порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего кодекса и иных федеральных законов» (ст. 87 ТК РФ). Необходимо документально оформить правила хранения и защиты персональных данных.

Документы, в которых содержатся персональные данные работников

№ п/п

Вид документа

Персональные данные сотрудника

Анкета, другой документ, заполняемый кандидатом на должность при собеседовании

Анкетные, биографические данные физлица

Копия паспорта или другого документа, удостоверяющего личность

ФИО, дата рождения. Адрес регистрации, семейное положение

Информация о трудовом стаже, предыдущих местах работы

Копия страхового свидетельства государственного пенсионного страхования

ФИО, личные данные

Документы воинского учета

Информация о воинской обязанности

Документы об образовании, квалификации, наличии специальных знаний

Сведения о квалификации

Личная карточка (форма № Т-2 утверждена постановлением Госкомстата России от 5 января 2004 г. № 1)

Согласие на обработку персональных данных ИП

ФИО сотрудника, место его рождения, состав семьи, образование, данные документа, удостоверяющего личность, другие сведения

Копии свидетельств о заключении брака, рождении детей

Состав семьи, изменения в семейном положении

Справка о доходах с предыдущего места работы

ФИО, данные о доходе и удержанном НДФЛ

Сведения о должности, зарплате, месте работы, рабочем месте, другие персональные данные

Приказы по личному составу

Информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Основные разделы, которые должны содержаться в положении о персональных данных работников

№ п/п

Раздел

Содержание

Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)

Понятия и состав персональных данных

Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.

Далее перечислить документы, в которых содержатся персональные данные, и перечислить состав персональных данных (анкетные данные, домашний адрес, телефон, сведения о стаже, зарплате и т.п.)

Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ

Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных

Права работника перечислены в статье 89 ТК РФ

Обработка персональных данных

Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов

Передача персональных данных

Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)

Доступ к персональным данным

Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)

Защита персональных данных

Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)

Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Согласие работника

Обработка персональных данных осуществляется с согласия субъекта персональных данных, то есть физлица (подп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Но существуют случаи, когда согласие не нужно, в частности, когда обработка осуществляется для выполнения обязанностей, возложенных на оператора (работодателя) законодательством (подп. 2 п. 1 ст. 6 Закона № 152-ФЗ).

Коммерсант как работодатель обрабатывает персональные данные сотрудника для выполнения своих обязанностей, как стороны трудового договора, а именно составление отчетности, представление сведений о доходах, удержание и перечисление налога, то есть выполняет требования закона. Тем не менее, многие работодатели перестраховываются и запрашивают согласие у всех сотрудников, поскольку формулировки Закона № 152-ФЗ нечеткие, а в Трудовом кодексе эта ситуация не оговаривается.

Кроме того, если предполагается какое-либо иное использование персональных данных, выходящее за рамки Трудового кодекса, скажем, размещение информации о сотруднике на стенде или интернет-сайте, использование фамилии сотрудника в его электронном адресе, оформление визитных карточек сотруднику, то согласие лучше получить. Отметим: в согласии работника обязательно должны указываться ФИО и адрес сотрудника и предпринимателя, реквизиты паспорта работника, цель обработки данных (кадровый учет, отчетность); перечень данных, на обработку которых дается согласие; перечень действий с персональными данными, на совершение которых дается согласие; срок действия согласия, способ отзыва, подпись работника (ст. 9 Закона № 152-ФЗ).

Нужно ли согласие работника, если коммерсант самостоятельно не составляет отчетность, а привлекает сторонних специалистов? Однозначного ответа на данный вопрос нет, разъяснений ведомств тоже. Отдельные налоговые представители требуют предоставить согласие каждого сотрудника и даже предлагают собственный бланк заявления.

Конечно, документ лишним не будет и обезопасит от возможных претензий контролеров. Поэтому, если работников немного, согласие лучше получить от каждого. В этом случае в заявлении помимо прочего указывается лицо (нанимаемый специалист, фирма), кому будут предоставляться персональные данные.

С другой стороны налоговый агент становится представителем работодателя и, представляя отчетность, действует от его имени, то есть в рамках трудового законодательства. Что касается сохранности сведений, в договоре с привлекаемыми специалистами всегда присутствует пункт о конфиденциальности. Условие о неразглашении сведений можно предусмотреть в трудовых договорах с сотрудниками, которые будут иметь доступ к персональным данным.

Образец

Согласие работника на обработку персональных данных

ИП Смирнову А. С.

Заявление на обработку персональных данных

Я, Киселева Елена Николаевна

зарегистрированный (ая) по адресу:__г. Москва, ул. Смольная, д. 7, кв. 15

паспорт серия _45 04_ № _123456_, выдан _ОВД «Левобережный» г. Москвы 15.04.2002

даю согласие __ Индивидуальному предпринимателю Смирнову Антону Сергеевичу

адрес: ___г. Москва ул. Полярная, д. 25, кв. 75

на автоматизированную, а также без использования средств автоматизации обработку следующих персональных данных: ФИО, паспортные данные, дата рождения, должность, адрес регистрации, ИНН, номер страхового свидетельства государственного пенсионного страхования_______________

в целях соблюдения законодательства, обеспечения личной безопасности, контроля выполняемой работы, обеспечения сохранности имущества.

Перечень действий с персональными данными:

— формирования кадровых документов и выполнения требований Трудового кодекса;

— начисления заработной платы, исчисления и уплаты предусмотренных законодательством налогов, сборов и взносов на обязательное социальное страхование;

— представления установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ;

— размещения моих фотографий, фамилии, имени, отчества на интернет-сайте.

Данное согласие действительно с __ 1 декабря 2011 года до даты расторжения трудового договора

Согласие может быть полностью или частично отозвано субъектом персональных данных на основании его заявления

Дата заполнения 1 декабря 2011 года

Источник: www.buhkadr.ru

Что такое персональные данные

Утечка персональных данных — это удар по репутации, который может поставить под вопрос работу компании. Предприниматель должен следовать закону и оберегать конфиденциальную информацию. Рассказываем, какие данные считаются персональными, как правильно их собирать, обрабатывать и хранить. А еще — кто такой субъект персональных данных и каковы его обязанности.

Что такое персональные данные

• фамилия, имя, отчество;
• страна, город;
• дата рождения;
• фото- и/или видеоизображение человека;
• адрес проживания;
• телефонный номер;
• email;
• сведения об образовании, трудовом стаже, текущей работе и доходах;
• информация о семейном положении, составе семьи, в том числе подробные сведения о ее членах;
• расовая и национальная принадлежность;
• информация о религиозных, политических и других убеждениях;
• данные о состоянии здоровья;
• документы — серия и номер общегражданского и заграничного паспортов, отметки о пересечении государственной границы, СНИЛС.

Согласно №152-ФЗ «О персональных данных», под такими сведениями подразумевают информацию, привязанную к фамилии, имени, отчеству, адресу и телефонному номеру частного лица. Обезличенные данные — без подобной привязки — не относят к персональным.

Виды персональных данных

Сведения классифицируют по содержанию, уровню секретности, методам обработки. Выделяют четыре основные категории личной информации.

Общие ПД. Это базовые сведения о гражданах, большая часть которых отражена в паспорте. Их используют при устройстве на работу, обучении, прохождении армейской службы и вносят в соответствующие документы — военный билет, диплом об образовании, трудовую книжку, личную карточку сотрудника.

Для получения и использования общих ПД не нужно письменное разрешение человека — достаточно «галочки» в графе обычной или онлайн-анкеты. Такая форма согласия делает эту информацию общедоступной.

Специальные ПД. Это закрытая информация о частном лице:

• национальность;
• политические убеждения;
• вероисповедание;
• состояние здоровья;
• сексуальные предпочтения.

Распространение таких сведений может нанести человеку ущерб — большинство из них берут с письменного разрешения. Ограничения на использование информации о судимости еще жестче — ее обрабатывают на основании закона вне зависимости от согласия гражданина.

Биометрические ПД. Это биологические характеристики человека:

• внешний облик — рост, вес, цвет глаз и волос;
• голос;
• отпечатки пальцев (дактилоскопические данные);
• результаты ДНК-анализа потожировых следов, слюны;
• группа и резус-фактор крови.

Биометрические ПД хранят для идентификации. Например, в банке сотрудник фотографирует клиента, чтобы система безопасности распознала его в случае утери карты или мошенничества.

Речевая аналитика Calltouch — система распознавания речи. С ее помощью вы узнаете пол, тип обращения клиента и получите текстовую расшифровку разговора с ним. Исследуете целевую аудиторию и оцените качество работы клиентского сервиса. Вы поймете, какие звонки приводят к продажам, сможете скорректировать скрипты колл-центра и рекламную стратегию — и увеличить приток покупателей.

Технология
речевой аналитики
Calltouch Predict

• Автотегирование звонков
• Текстовая расшифровка записей разговоров

Иные ПД. Сведения, не попадающие в описанные выше категории. Это дополнительные характеристики человека: социальный статус, трудовой стаж, размер заработной платы, отпускные периоды. Большая часть таких сведений может меняться.

Оператор и субъект персональных данных

Субъект — конкретный человек, личность которого идентифицируют по персональным данным.

Оператор — тот, кто занимается обработкой ПД. Им могут быть:

• организация — государственная, общественная, коммерческая;
• частный предприниматель;
• физическое лицо — например, владелец сайта изучает обезличенные ПД пользователей для оценки активности, рассылки, анализа половозрастной структуры.

Оператор должен быть зарегистрирован в реестре Роскомнадзора.

Защитите компанию от сомнительных обращений. Недобросовестные подрядчики могут накручивать звонки и вводить вас в заблуждение. Чтобы контролировать лидогенерацию, подключите Антифрод Calltouch. Он поможет отсечь спам и нецелевые обращения, отметив их специальным тегом. Так вы оптимизируете расходы на рекламу и оставите только прибыльные площадки, которые обеспечивают целевой трафик.

Автоматически выявляет некачественные звонки, которые не приводят к продажам, а просто расходуют бюджет.

• Выявляет и тегирует сомнительные звонки от недобросовестных рекламных подрядчиков или спам
• Позволяет учитывать в отчетах только качественные обращения
• Упрощает контроль подрядчиков

Чек-лист по обработке ПД

Если вы собираетесь обрабатывать персональные данные пользователей, следуйте алгоритму:

1. Назначьте ответственного за организацию процесса.
2. Разработайте политику конфиденциальности и опубликуйте ее на сайте. Утвердите локальные акты.
3. Позаботьтесь о том, чтобы сервер для хранения ПД находился в России.
4. Подготовьте оборудование и безопасное программное обеспечение.
5. Подайте уведомление в Роскомнадзор и дождитесь ответа.
6. Определитесь с перечнем сведений для сбора и хранения информации. Проверьте по официальным источникам, какие документы являются персональными данными.
7. Получите согласие пользователя на обработку ПД.

Как получить согласие на обработку персональных данных

Обработка персональных данных — это любые действия с личной информацией:

• получение;
• структуризация;
• хранение на носителях — в электронных и бумажных архивах;
• анализ;
• использование в коммерческой, социальной, государственной деятельности;
• передача другим владельцам или предоставление доступа к базе;
• обезличивание — устранение очевидной связи между человеком и его ПД;
• блокировка — временная остановка работы с информацией по запросу граждан или регулятора;
• удаление и обновление;
• ликвидация без возможности восстановления.

Персональные данные обрабатывают только с разрешения их владельца. Чтобы законно получить согласие:

1. Уведомите Роскомнадзор о своих планах обрабатывать персональные данные. О случаях, когда уведомление не требуется, расскажем ниже.
2. Составьте текст соглашения и разместите его в общем доступе на сайте или бумажном бланке. Снабдите документ чекбоксом для отметки о согласии на обработку ПД.
3. Предупредите посетителей о сборе куки-файлов и иных метаданных (местоположения, IP-адреса) во всплывающем окне на сайте.
4. Разместите ссылку на документ с политикой конфиденциальности компании или правилами работы с ПД.

Устное разрешение на обработку персональных данных не имеет силы. Нельзя получить его и по умолчанию. Например, покупка на сайте не означает автоматическое согласие клиента на обработку ПД.

Если вы собираете биометрическую информацию, вам понадобится специальное оборудование и письменное согласие субъекта. Чекбокс в этом случае не подойдет.

Бизнес

Как рассчитать точку безубыточности

Как рассчитать точку безубыточности

Обязательства оператора по защите персональных данных

Оператор персональных данных обязан:

• Не раскрывать информацию третьим лицам, не распространять ее без согласия субъекта, не допускать утечки.
• Изменять или удалять сведения по требованию субъекта персональных данных. Удаление нужно подтверждать актом об уничтожении данных, выгрузкой из журнала ПД,
• Размещать и хранить архив с информацией на российских серверах.
• Оценивать ущерб от возможной утечки личных данных и оформлять их в виде акта. Требования — в приказе Роскомнадзора N 178 от 27.10.2022.
• Сообщать в Роскомнадзор об утечке персональных данных — форма есть на официальном сайте ведомства.
• Уведомлять Роскомнадзор о передаче ПД за границу — по ст. 12 N 152-ФЗ.

Для защиты ПД применяют организационные меры и технические средства — противовирусное обеспечение, программно-аппаратные комплексы межсетевого экранирования, разграничение прав доступа. Чтобы понять, где и как хранить ПД, обратитесь в Минкомсвязи или Роскомнадзор. Оптимальное готовое решение может предложить и хостинг-провайдер.

При низком уровне защиты личная информация граждан может попасть в руки преступников. За халатное отношение к своим обязанностям оператор будет отвечать в суде.

Уведомление в Роскомнадзор

Чтобы уведомить Роскомнадзор о намерении обрабатывать персональные данные, заполните электронную форму на сайте ведомства или портале «Госуслуги». В Роскомнадзор нужно сообщать об изменении названия или адреса оператора персональных данных, объема ПД и целей их обработки.

Заполненный документ отправьте онлайн или почтой по адресу местного отделения Роскомнадзора. Сведения о заявителе добавят в реестр в течение месяца.

Через сайт можно отправить уведомление о трансграничной передаче данных или их утечке.

Уведомлять Роскомнадзор не обязательно, если ПД обрабатывают для:

• оформления разового пропуска на территорию предприятия;
• исполнения предписаний ТК — только если информацию используют внутри предприятия и не передают в иные организации, например банки;
• заключения договоров с сотрудниками и клиентами без передачи информации третьим лицам;
• работы с данными только на бумажных носителях;
• использования ПД участников в одной общественной или религиозной организации.

Перед подачей уведомления оповестите персонал, оборудуйте помещение и компьютеры средствами защиты информации, подготовьте документацию.

Обязательные документы и шаблоны

В список необходимых документов входят:

• Политика конфиденциальности. Регламентирует работу со всей конфиденциальной информацией — деловой перепиской, договорами, внутренней документацией.
• Правила работы с персональными данными. Их часто объединяют с политикой конфиденциальности — это не противоречит закону.
• Согласие на обработку персональных данных. Форма для заполнения клиентом. Она содержит наименования (ФИО) и адреса оператора или действующего по его поручению лица, а также данные субъекта ПД. Обязательно указывают цель сбора информации и методы ее обработки, срок действия согласия, способы его отзыва.
• Обязательство о неразглашении ПД. Это документ, подписанный всеми сотрудниками, которые имеют доступ к конфиденциальной информации о клиентах.
• Приказ о назначении ответственного за работу с ПД. Этот внутренний документ часто требуют представители Роскомнадзора при проверках. Ответственным обычно назначают специалиста из отдела IT или службы безопасности.

Документы разрабатывают с участием юрисконсульта. Шаблон формы согласия клиента и рекомендации по составлению правил работы с ПД доступны на сайте Роскомнадзора.

Бизнес

Маркировка товаров: что это такое и с какими товарами делать

Маркировка товаров: что это такое и с какими товарами делать

Чем грозит нарушение закона

Любое нарушение правил использования персональных данных — это огромный риск для компании. Виды ответственности:

• Административная — статья 13.11 КоАП РФ «Нарушение законодательства в области ПД».
• Уголовная — статьи 137, 140, 272 УК РФ.
• Гражданско-правовая — статьи 15, 151 ГК РФ.
• Дисциплинарная — статьи 90, 81 ТК РФ.

Наказание зависит от обстоятельств нарушения и тяжести последствий. Возможные санкции:

• предупреждение;
• штрафы до 300 тысяч рублей, по административным статьям — до 75 тысяч рублей;
• арест до шести месяцев;
• исправительные работы до одного года;
• принудительные работы до пяти лет;
• лишение свободы до пяти лет.

Дополнительно суд обязывает возместить пострадавшему материальные убытки и компенсировать моральный вред. По месту работы применяют замечание, выговор или увольнение.

Коротко о главном

• Персональные данные — это конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
• Оператор персональных данных собирает, обрабатывает и обеспечивает защиту информации.
• Перед обработкой персональных данных нужно уведомить Роскомнадзор о своем намерении.
• Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность вплоть до уголовного преследования.

FAQ

Можно ли не запрашивать согласие пользователя на обработку персональных данных?

Если пользователь регистрируется или авторизуется на сайте, вводит любую личную информацию, согласие обязательно.

Нужно ли направлять уведомление в Роскомнадзор о сборе персональных данных клиента?

Да, если вы обрабатываете данные в электронном виде (на сайте). Если информацию вносят вручную на бумажных носителях, уведомление не требуется.

Что называют обработкой персональных данных?

Любые действия с информацией о человеке: сбор, хранение, анализ, использование передача, обновление, блокировка, удаление.

Когда согласие на обработку персональных данных не нужно?

В разрешении на обработку ПД нет необходимости, если субъект:
— участвует в договоре как выгодоприобретатель или поручитель;
— привлекается к участию в суде;
— не может физически предоставить согласие в экстренных ситуациях, например находится без сознания.
Не нужно получать согласие на обработку информации, которая не относится к ПД или не используется для коммерции. А именно:
— сведения, собранные для личных нужд человека — списки телефонных и почтовых контактов, визитные карточки, профили друзей в соцсетях;
— фото или видео с общественных мероприятий или полученные на платной основе;
— ИНН без привязки к другой информации;
— государственные номера транспортных средств.
— данные для проведения научных исследований, творческой деятельности, если они не нарушают прав и интересов граждан;
— информация для передачи только внутри компании.
Закон не дает исчерпывающего определения ПД — при сборе любой информации о клиенте лучше заручиться его согласием. Это поможет избежать взысканий

Источник: www.calltouch.ru

Просто о сложном: как правильно составить положение о персональных данных? Все нюансы и образец документа

Под персональными данными подразумевается любая информация о конкретном физическом лице – сотруднике какого-либо предприятия.

Помимо стандартных сведений о каждом работнике, персональные могут включать, например, такие, как: религиозные и политические убеждения, информацию о состоянии здоровья или среднегодового дохода.

Определение

Положение о персональных данных – документ об основных аспектах работы с личными сведениями сотрудника, необходимых работодателю.

Чем отличается от политики обработки ПД?

Положение о персональных данных содержит перечень обязанностей по получению личных сведений, их хранению, передаче и защите. Политика определяет цели и общие принципы обработки, а также методы защиты личной информации.

Кем составляется?

Положение в соответствии со ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ разрабатывается на каждом предприятии, в том числе и в обществах с ограниченной ответственностью (ООО), и включается в кадровый документооборот организации.

Важно. С копией Положения о персональных данных под расписку должны быть ознакомлены все сотрудники(п.п. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Также положение может включать приложения.

Последствия нарушения закона

Какова политика Роскомнадзора в отношении обработки данных и обеспечении их безопасности? Работодатели организаций могут получать письма от Роскомнадзора, которые предупреждают о возможности при проверке получить серьезные штрафы за нарушение закона № 152-ФЗ от 27.07.2006 “О персональных данных”.

За нарушение закона предусмотрены меры дисциплинарной, материальной, административной и уголовной ответственности. Административная ответственность предусмотрена ст. 13.11 и 13.14 КоАП. Материальная ответственность в виде штрафов составляет:

• для должностных лиц 500 – 1000 руб.;
• для организации 5000 – 10 000 руб.;
• для должностных лиц (в связи с исполнением служебных обязанностей) 4000 – 5000 руб.

Пошаговая инструкция по составлению

В документе обязательно освещаются такие факторы:

1. Порядок хранения. Работодателю необходимо составлять правила, касающиеся порядка хранения и использования информации, опираясь на Федеральный закон. Эти правила закрепляются в нормативном акте, чаще всего это “Положение о защите персональных данных работников”. Личная информация о работниках хранится в особых папках в специально отведенных помещениях с личными делами сотрудников. Еще один способ хранения – электронные базы (в таком случае нужно иметь резервную копию).
2. Использование. Утверждается в том же нормативном акте – Положении. Информация может использоваться только для решения рабочих вопросов. Передавать ее третьим лицам разрешается только после уведомления в этом сотрудника и его письменного согласия, учитывая, что передавать можно лишь ту информацию, которая требуются для решения той или иной проблемы. Если использование данных касается таких вопросов, как занесение в личное дело, согласие сотрудника не нужно.

Важно. Перед началом использования данных, находящихся на хранении, необходимо уведомить Роскомнадзор.

Подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан читайте тут.

• дисциплинарная (применяется работодателем при допущении сотрудником небольшого проступка, не приводящего к серьезным последствиям; сотруднику может быть сделан выговор, применено взыскание или осуществлено увольнение);
• материальная (применяется к сотруднику в случае, если работодатель вынужден был компенсировать урон, нанесенный работнику, чьи персональные данные были разглашены);
• административная (штраф в этом случае составляет 3-5 МРОТ, что указано в ст. 13.11 КоАП РФ);
• гражданско-правовая (в статьях 150-152 ГК РФ предусмотрена денежная компенсация за моральный ущерб потерпевшему гражданину);
• уголовная (если утечка информации наносит непоправимый вред правам и интересам гражданина, в соответствии со ст. 137 УК РФ применяется уголовная ответственность).

Подробнее о сборе личных сведений в медицинском учреждении и согласии пациента на обработку персональных данных читайте тут.

Для чего нужна комиссия?

Комиссия является коллегиальным органом, во главе которой стоит председатель. Состав комиссии определяется руководителем организации. Задача комиссии состоит в создании мер по защите личных сведений при обработке, а также в проведении проверок соблюдения законодательства о защите персональных данных. Комиссия участвует в проверке документов, определяющих защиту персональной информации, с целью выявления нарушений.

Обо всех изменениях, которые касаются личных сведений, комиссия также должна оповестить сотрудников.

Комиссия осуществляет свою деятельность в соответствии с разрабатываемыми им регламентом и планом работы. Результаты работы предоставляются руководителю предприятия.

Что такое лист ознакомления?

Лист ознакомления составляется для оповещения работников с положением о неразглашении конфиденциальных сведений и об особенностях их обработки (а об обязательстве о неразглашении ПД читайте тут). Предприятие вправе разработать лист ознакомления, в котором обязательно указывается: полное название предприятия, суть приказа и составляется таблица.

В таблице нужно указать порядковый номер, ФИО работника полностью, должность прописывается без сокращений. Сотрудник расписывается и ставит дату на момент ознакомления. Печать на таком документе не требуется. Хранится лист ознакомления вместе с положением, с которым знакомился сотрудник.

• Скачать бланк листа ознакомления с положением о персональных данных
• Скачать образец листа ознакомления с положением о персональных данных

Утверждение должно производиться только после согласования его с профсоюзом или другим органом, представляющим интересы работников. После передачи документа профсоюзу, в течении 5 дней должно быть вынесено решение в письменном виде. Если будет несогласие, то вместе с решением предлагают предложения.

Далее после рассмотрения всех разногласий, администрация имеет право принять документ в первоначальном виде, без изменений. В случае, отсутствия профсоюза или другого органа администрация утверждает Положение о персональных данных самостоятельно.

Для чего нужно приложение?

Приложение составляется для перечисления лиц, которые могут запрашивать личные сведения служащих. Это могут быть сотрудники кадровой службы, руководители предприятия. В приложении указывается название предприятия, дата составления, список уполномоченных лиц и занимаемую ими должность.

Источник: 101million.com