Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Положение о персональных данных 2022 образец роскомнадзор». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Рассматриваемый документ содержит локальные нормы, определяющие:
- цели и задачи фирмы при работе с персональными данными;
- перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
- описание операций с данными, практикуемых компанией;
- способы доступа к данным, используемые в фирме;
- обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
- права сотрудников фирмы на приобретение санкционированного доступа к данным;
- правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.
24.03.2021. Новые правила работы с персональными данными.
Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.
Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:
- «Воинский учет в организации — пошаговая инструкция»;
- «Какой срок хранения документов в архиве организации?».
- Федеральный закон от 27.07.2006 № 152-ФЗ
- Трудовой кодекс РФ
При работе с Положением о данных в отношении работников работодатели допускают некоторые ошибки:
- При разработке документа не составляется приказ о его утверждении. При этом работодатель заблуждается в том, что разработка Положения равнозначна введению его в действие или согласию работников на сбор личной информации. На работодателя, который осуществляет обработку таких сведений без письменного согласия субъекта, может быть наложена санкция в виде штрафа в размере:
- до 70 тысяч рублей (для юридического лица);
- до 5 тысяч рублей (для ИП).
- В документе установлена обязанность представления сотрудником информации о состоянии здоровья, о религиозных или политических предпочтениях, что является незаконным. Исключение составляют случаи, когда получение таких данных:
- обусловлено требованиями законодательных актов (например, при поступлении на службу в органы полиции, прокуратуры и т.д.);
- необходимо по запросу контролирующих органов (полиции, прокуратуры и т.д.);
- производится с добровольного согласия работника, предоставленного в письменном виде.
Если Положение о персональных данных не доведено до всеобщего сведения, на работодателя может быть возложена ответственность по КоАП РФ в размере до 30 тысяч рублей. При привлечении к ответственности работодатель может наказать сотрудника, отвечающего за сбор и хранение информации на рабочем месте (например, объявить выговор). При повторном нарушении соответствующий работник может быть уволен.
Это любая информация, необходимая работодателю при установлении трудовых отношений, которая касается сотрудника. Например, фамилия, имя, отчество, дата и место рождения, место проживания и т. д.
Примерами документов, включающих личные данные, могут служить:
- карточка сотрудника, содержащая Ф.И.О. лица, сведения о составе семьи, образовании;
- трудовая книжка со стажем с предшествующих мест работы;
- дипломы, сертификаты об образовании;
- трудовой договор.
Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.
Личные данные сотрудников содержатся в их личных карточках и личных делах. Законодательство обязывает каждое конкретное предприятие разрабатывать правила использования и хранения данных о своих работниках.
Положение о защите персональных данных может быть как отдельным документом, так и разделом, включенным в действующие Правила внутреннего трудового распорядка.
Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.
Информация о персональных данных сотрудников на предприятии может храниться как в бумажном, так и в электронном виде. В наше время такая информация чаще всего хранится смешанным способом.
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
-
в течение трех рабочих дней с момента обращения;
-
или в срок, указанный в постановлении суда;
-
или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
(в ред. Приказов Роскомнадзора от 28.08.2020 N 109, от 22.10.2020 N 137)
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701) и подпунктом «б» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:
1. Утвердить прилагаемое Положение об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
2. Признать утратившим силу приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 13 апреля 2011 г. N 246 «Об утверждении Положения об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 17 мая 2011 г., регистрационный N 20757).
3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
Руководитель
А.А.ЖАРОВ
2.1. Персональные данные государственных гражданских служащих центрального аппарата Роскомнадзора, руководителей и заместителей руководителей территориальных органов Роскомнадзора (далее — государственных служащих Роскомнадзора), граждан, претендующих на замещение должностей государственной гражданской службы центрального аппарата Роскомнадзора и руководителей и заместителей руководителей территориальных органов Роскомнадзора (далее — граждан, претендующих на замещение должностей государственной службы Роскомнадзора), лиц, замещающих должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, а также граждан, претендующих на замещение должностей руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим Роскомнадзора в прохождении государственной службы (лицам, замещающим должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, в целях содействия выполнения работы), формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными служащими Роскомнадзора должностных обязанностей, обеспечения личной безопасности государственных служащих Роскомнадзора, лиц, замещающих должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, и членов их семьи, обеспечения государственным служащим Роскомнадзора установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются следующие категории персональных данных государственных служащих Роскомнадзора, лиц, замещающих должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, граждан, претендующих на замещение должностей государственной службы Роскомнадзора, а также граждан, претендующих на замещение должностей руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий:
2.2.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2.2.2. число, месяц, год рождения;
2.2.3. место рождения;
2.2.4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
2.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
2.2.6. адрес места жительства (адрес регистрации, фактического проживания);
2.2.7. номер контактного телефона или сведения о других способах связи;
2.2.8. реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета; (в ред. Приказа Роскомнадзора от 22.10.2020 N 137)
2.2.9. идентификационный номер налогоплательщика;
2.2.10. реквизиты страхового медицинского полиса обязательного медицинского страхования;
2.2.11. реквизиты свидетельства государственной регистрации актов гражданского состояния;
2.2.12. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
2.2.13. сведения о трудовой деятельности;
2.2.14. сведения о воинском учете и реквизиты документов воинского учета;
2.2.15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
2.2.16. сведения об ученой степени;
2.2.17. информация о владении иностранными языками, степень владения;
2.2.18. медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
2.2.19. фотография;
3.1. В центральном аппарате Роскомнадзора осуществляется обработка персональных данных государственных служащих центрального аппарата и территориальных органов Роскомнадзора и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения.
3.2. Перечень персональных данных, подлежащих обработке в связи с предоставлением единовременной субсидии на приобретение жилого помещения, определяется постановлением Правительства Российской Федерации «О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения», и включает в себя:
3.2.1. фамилию, имя, отчество;
3.2.2. вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
3.2.3. адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);
3.2.4. сведения о составе семьи;
3.2.5. персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки и (или) в сведениях о трудовой деятельности, документов о наличии в собственности государственного служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения; (в ред. Приказа Роскомнадзора от 28.08.2020 N 109)
3.2.6. иные персональные данные, предусмотренные законодательством Российской Федерации.
3.3. Обработка персональных данных государственных служащих Роскомнадзора при постановке на учет для получения единовременной выплаты осуществляется на основании заявления государственного служащего, представляемого на имя руководителя Роскомнадзора в Комиссию Роскомнадзора по рассмотрению вопросов о постановке на учет федеральных государственных гражданских служащих для получения единовременной субсидии на приобретение жилого помещения (далее — Комиссия Роскомнадзора).
3.4. Обработка персональных данных государственных служащих Роскомнадзора в связи с предоставлением единовременной субсидии на приобретение жилого помещения, в частности сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется должностными лицами центрального аппарата Роскомнадзора, входящими в состав Комиссии Роскомнадзора, путем:
3.4.1. получения оригиналов необходимых документов;
3.4.2. предоставления заверенных в установленном порядке копий документов.
3.5. Комиссия Роскомнадзора вправе проверять сведения, содержащиеся в документах, представленных государственными служащими Роскомнадзора о наличии условий, необходимых для постановки государственного служащего на учет для получения единовременной субсидии на получение жилья.
3.6. Передача (распространение, предоставление) и использование персональных данных государственных служащих Роскомнадзора, полученных в связи с предоставлением единовременной субсидии на приобретение жилого помещения, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
Разработка положения о персональных данных работников
5.1. Обработка персональных данных в центральном аппарате Роскомнадзора осуществляется:
5.1.1. В «Информационной системе персональных данных Роскомнадзора»;
5.1.2. На аттестованных под обработку персональных данных автоматизированных рабочих местах, входящих в состав «Единой информационной системы Роскомнадзора»;
5.1.3. В информационной системе «1С: Предприятие 8»;
5.1.4. На автоматизированных рабочих местах сотрудников кадрового подразделения Роскомнадзора.
5.2. «Информационная система персональных данных Роскомнадзора» (далее — ИСПДн Роскомнадзора) содержит персональные данные государственных служащих Роскомнадзора, субъектов (заявителей), обратившихся в Роскомнадзор в целях получения государственных услуг или в связи с исполнением государственных функций, и включает:
5.2.1. персональный идентификатор;
5.2.2. фамилию, имя, отчество субъекта персональных данных;
5.2.3. вид документа, удостоверяющего личность субъекта персональных данных;
5.2.4. серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
5.2.5. адрес места жительства субъекта персональных данных;
5.2.6. почтовый адрес субъекта персональных данных;
5.2.7. контактный телефон, факс (при наличии) субъекта персональных данных;
5.2.8. адрес электронной почты субъекта персональных данных;
5.2.9. ИНН субъекта персональных данных.
5.3. Аттестованные в соответствии с законодательством Российской Федерации под обработку персональных данных автоматизированные рабочие места, входящие в состав «Единой информационной системы Роскомнадзора» (далее — АРМ ЕИС Роскомнадзора), включают персональные данные субъектов, получаемые сотрудниками центрального аппарата Роскомнадзора в рамках предоставления государственных услуг и исполнения государственных функций, и включают:
5.3.1. персональный идентификатор;
5.3.2. адрес места жительства субъекта персональных данных;
5.3.3. почтовый адрес субъекта персональных данных;
5.3.4. телефон субъекта персональных данных;
5.3.5. факс субъекта персональных данных;
5.3.6. адрес электронной почты субъекта персональных данных.
5.4. Информационная система «1С: Предприятие 8» и прикладные программные подсистемы «АКСИОК» и «1С Бухгалтерия», содержат персональные данные государственных служащих центрального аппарата Роскомнадзора и физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых центральным аппаратом Роскомнадзора, и включает:
5.4.1. фамилию, имя, отчество субъекта персональных данных;
5.4.2. дату рождения субъекта персональных данных;
5.4.3. место рождения субъекта персональных данных;
5.4.4. серию и номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
5.4.5. адрес места жительства субъекта персональных данных;
5.4.6. почтовый адрес субъекта персональных данных;
5.4.7. телефон субъекта персональных данных;
5.4.8. ИНН субъекта персональных данных;
5.4.9. табельный номер субъекта персональных данных;
5.4.10. должность субъекта персональных данных;
6.1. Роскомнадзор в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти с применением единой системы межведомственного электронного взаимодействия (далее — СМЭВ).
6.2. Роскомнадзор в рамках СМЭВ на основании поступивших межведомственных запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые в центральном аппарате Роскомнадзора, в следующие федеральные органы исполнительной власти:
6.2.1. в Федеральное агентство связи — фамилию, имя, отчество, идентификационный номер налогоплательщика владельца лицензии на осуществление деятельности по оказанию услуг связи;
6.2.2. в Министерство внутренних дел Российской Федерации — фамилию, имя, отчество, идентификационный номер налогоплательщика владельца разрешения на использование радиочастот;
6.2.3. в Федеральное агентство по печати и массовым коммуникациям, Федеральную таможенную службу — фамилию, имя, отчество учредителя средства массовой информации.
6.3. Роскомнадзор в рамках СМЭВ вправе направить межведомственные запросы о предоставлении информации, включающей персональные данные субъектов, в следующие федеральные органы исполнительной власти:
6.3.1. в Федеральную налоговую службу — о предоставлении информации из Единого государственного реестра юридических лиц и Единого государственного реестра индивидуальных предпринимателей (сведения об учредителях — физических лицах);
6.3.2. в Федеральную службу государственной регистрации, кадастра и картографии — о предоставлении информации из Единого государственного реестра прав на недвижимое имущество в отношении правообладателей (фамилия, имя, отчество, дата рождения, серия и номер основного документа, удостоверяющего личность, место рождения, адрес места жительства, гражданство);
6.3.3. в Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий — о предоставлении фамилии, имени, отчества судовладельца.
6.4. Обработка персональных данных также осуществляется Роскомнадзором при осуществлении электронного взаимодействия с подведомственными Роскомнадзору федеральными государственными унитарными предприятиями радиочастотной службы в рамках полномочий, предусмотренных законодательством Российской Федерации.
7.1. Сроки обработки и хранения персональных данных государственных служащих Роскомнадзора, граждан, претендующих на замещение должностей государственной службы Роскомнадзора, лиц, замещающих должности руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, а также граждан, претендующих на замещение должностей руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных государственных служащих:
7.1.1. Персональные данные, содержащиеся в приказах по личному составу государственных служащих Роскомнадзора (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении Роскомнадзора в течение двух лет, с последующим формированием и передачей указанных документов в архив центрального аппарата Роскомнадзора или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
7.1.2. Персональные данные, содержащиеся в личных делах государственных служащих Роскомнадзора (копиях личных дел руководителей территориальных органов Роскомнадзора) и руководителей подведомственных Роскомнадзору федеральных государственных унитарных предприятий, а также личных карточках государственных служащих Роскомнадзора, хранятся в кадровом подразделении Роскомнадзора в течение десяти лет, с последующим формированием и передачей указанных документов в архив центрального аппарата Роскомнадзора или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
7.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи государственных служащих Роскомнадзора, подлежат хранению в течение двух лет в кадровом подразделении Роскомнадзора с последующим формированием и передачей указанных документов в архив центрального аппарата Роскомнадзора или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
7.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных служащих Роскомнадзора, подлежат хранению в кадровом подразделении Роскомнадзора в течение пяти лет с последующим уничтожением.
7.1.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной службы в центральном аппарате Роскомнадзора, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Роскомнадзора в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
7.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в центральный аппарат Роскомнадзора в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 4.1 настоящего Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
7.3. Персональные данные граждан, обратившихся в центральный аппарат Роскомнадзора лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
7.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением центральным аппаратом Роскомнадзора государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях центрального аппарата Роскомнадзора, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях центрального аппарата Роскомнадзора.
7.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
7.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
7.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений центрального аппарата Роскомнадзора.
Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.
ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.
Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.
Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.
Обратите внимание! За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца. |
Приказ Роскомнадзора от 03.12.2012 N 1255
Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.
Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.
Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.
Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).
Важно Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней. |
При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.
Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.
Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.
Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.
При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:
- высокий
- значительный
- средний
- умеренный
- низкий.
К какой категории риска относится ваша организация? Попробуйте определить.
В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:
- информирование,
- обобщение правоприменительной практики,
- объявление предостережения,
- консультирование,
- профилактический визит.
Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.
Результаты контрольных мероприятий фиксируются в актах.
Обратите внимание! Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры. |
Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.
Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.
При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора.
ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.
Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, поэтому операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.
На практике направление уведомления об обработке персональных данных в Роскомнадзор происходит в два этапа:
1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;
2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).
В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.
ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.
Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.
На практике самый простой и быстрый способ получить заполненное уведомление об обработке персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.
Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.
Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Персональные данные: новое с 2021 года, проверки Роскомнадзора
Согласно подходу Роскомнадзора к биометрическим персональным данным могут относиться не только данные изображения отпечатка пальца, радужной оболочки глаза и т.д., но и изображения лица. Статья 22 ФЗ-152 обязывает операторов указывать категории субъектов, персональные данные которых обрабатываются. Логично, что субъектами персональных данных являются физические лица, но остаётся открытым вопрос, как их нужно идентифицировать в уведомлении Роскомнадзора.
Категории субъектов персональных – это указание на правовой статус субъектов персональных данных, определение места физических лиц в отношениях с оператором.
Так, если оператор обрабатывает информацию в целях обработки персональных данных персонала, то такое физическое лицо определяется в уведомлении как «работник», что и является категорией субъектов персональных данных. Контрагентов необходимо идентифицировать как сторону вида заключаемых с ними гражданско-правовых договоров.
В методических рекомендациях по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 РКН рекомендует указывать в уведомление об обработке персональных данных виды отношений оператора с субъектами персональных данных, т.е. определять, какие отношения (трудовые, гражданско-правовые и пр.) связывают оператора и физическое лицо-субъекта персональных данных.
Таким образом, для указания полной и достоверной информации об обработке персональных данных, правильного уведомления Роскомнадзора необходимо описывать категории персональных данных по следующему образцу:
«работники, состоящие в трудовых отношениях с оператором»
«физические лица (абонент, пассажир, заказчик), состоящие в договорных или иных гражданско-правовых отношениях с оператором»
Если в уведомлении, направляемом в Роскомнадзор, произошли изменения, оператору персональных данных необходимо направить информационное письмо в течение 10 рабочих дней с момента возникновения поправок.
Информационное письмо оформляется на бланке оператора по форме, определенной Приложением 2 к Рекомендациям, и направляется в территориальный орган Роскомнадзора по месту регистрации оператора в налоговом органе.
Если установится факт размещения в реестр операторов недостоверной или неполной информации, сотрудник Роскомнадзора информирует ответственное лицо в компании оператора путем направления в его адрес письма о перечне недостающих или неточных сведений в уведомление об обработке персональных данных. Решить вопрос необходимо в течение 30 дней со дня получения такого запроса.
Далее мы рассмотрим образец письма в Роскомнадзор, где заполнять необходимо только те поля, в которые вносятся изменения. Поля, отмеченные *, обязательны для заполнения.
Обращаем внимание! Текст примера следует переработать с учетом особенностей деятельности вашей компании. Убедитесь в том, что в подаваемом уведомлении или информационном письме указаны полные и достоверные сведения о компании.
Образец заполнения уведомления Роскомнадзора
об обработке персональных данных для юр.лиц
В большинстве случаев одним из главных условий обработки чьх-либо персональных данных является наличие согласия на обработку персональных данных. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона, возлагается на оператора.
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.
Новые правила с 2021 года
1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.
Рассмотрим основные нововведения.
1. Появился документ «Согласие на распространение ПДн сотрудника».
Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.
2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).
3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).
В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).
Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).
Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.
«КонсультантПлюс: Новости для юриста»
Получить согласие на распространение ПДн можно двумя способами:
1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;
2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.
Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.
Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.
Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.
Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).
Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.
В этой связи, работодателям целесообразно брать с сотрудников:
1. согласия на обработку персональных данных;
2. согласия на распространение персональных данных.
Документы составляются в соответствии с требованиями действующего законодательства.
Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.
В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.
Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».
Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:
№ |
РЕКВИЗИТ СОГЛАСИЯ |
1 | Фамилия, имя, отчество (при наличии) субъекта персональных данных |
2 | Контактная информация – номер телефона, адрес электронной почты или почтовый адрес субъекта |
3 | Сведения об операторе-организации:
Сведения об операторе – физическом лице:
Сведения об операторе – ИП:
|
4 | Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта
Это адрес, состоящий из:
|
5 | Цель (цели) обработки персональных данных |
6 | Категории и перечень персональных данных, на обработку которых дано согласие:
|
7 | Категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта) |
8 | Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать (заполняется по желанию субъекта):
|
9 | Срок действия согласия |
В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.
Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.
Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.
Законодательство РФ предусматривает 3 вида ответственности:
- гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
- административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
- уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.
Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:
- при осуществлении правосудия;
- при заключении договора потребительского кредитования;
- при заключении трудового договора;
- при защите прав и интересов гражданина;
- если при заключении гражданско-правового договора стороны достигли согласия об этом;
- в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.
Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.
В разработке документа должны принимать участие сотрудники кадровой и юридической служб, а также руководители отделов, деятельность которых подразумевает работу с персональными данными. Разработка приложения – отдельное направление работы над положением, которое стоит доверить юристам: они подготовят образцы документов, учитывая все особенности действующего законодательства.
Для утверждения готового документа издается приказ, который подписывается руководителем предприятия. Положение начинает действовать со дня подписания приказа, если последним не установлена другая дата вступления документа в силу.
Работа с персональными данными работников регулируется внутренним документом организации – соответствующим Положением. Обязательность его наличия обусловлено требованием ст. 87 ТК .
Все действия, связанные с получением, обработкой, изменением и т.д. данных индивидуального характера, подчиняются нормативам Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон).
Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:
- фамилия, имя и отчество;
- информация о рождении: место и дата;
- данные паспорта;
- ИНН;
- СНИЛС;
- адрес по прописке и фактического проживания;
- сведения об образовании;
- информация о стаже работы.
Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.
Положение о персональных данных работников – образец 2021 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.
Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.
Далее приведем возможный текст положения о защите персональных данных в 2021 году:
Общество с ограниченной ответственностью «Стелла»
(ООО Стелла»)
__________ А.С. Пушкин
9 июля 2021 года
ПОЛОЖЕНИЕ
О работе с персональными данными работников
9 июля 2021 года Москва
1. Общие положения
1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.
1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.
1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.
2. Получение и обработка персональных данных работников
2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.
2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.
2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.
2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.
2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.
2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.
3. Хранение персональных данных работников
3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.
3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.
3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.
3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.
3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.
3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.
3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.
4. Использование персональных данных работников
4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.
4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.
Различного рода информация, которая относится к определенному физическому лицу, является его персональными данными. Соответственно, такое физическое лицо именуется субъектом персональных данных (п. 1 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ ). К субъектам персональных данных относятся в том числе и работники.
Работодатель, в свою очередь, занимается обработкой персональных данных своих работников, т. е. производит сбор данных, их систематизацию, хранение, обновление, передачу, удаление и т.д. Это, к примеру, паспортные данные работников, сведения об адресе их проживания, информация об образовании или стаже работников, о заработной плате или семейном положении, о деловых качествах и даже увлечениях работников и т.д.
Обрабатывая персональные данные своих работников, работодатель должен гарантировать, что при этом не нарушаются их права и свободы. В частности, право на неприкосновенность частной жизни, личную и семейную тайну. Иными словами, работодатель должен обеспечивать надежную защиту персональных данных.
С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.
Работодатель должен внимательно подходить к разработке такого Положения, а в дальнейшем четко следовать указанному в нем порядку, ведь нарушение им законодательства о персональных данных чревато штрафами.
Так, например, обработка персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, может повлечь наложение штрафа на должностных лиц работодателя в размере от 5 000 до 10 000 рублей, а на работодателя-организацию – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ ).
Хотя необходимо иметь в виду, что Положение о персональных данных обязательно и для работников. Работник может быть даже уволен за разглашение персональных данных другого работника, ставших известными ему при исполнении своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).
Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.
Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.
Как составить согласие на обработку персональных данных, смотрите в здесь.
Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.
Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.