Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

Содержание
  1. Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов
  2. Виды проверок Роскомнадзора
  3. – Плановая проверка
  4. – Внеплановая проверка
  5. – Документарная проверка
  6. – Выездная проверка
  7. Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?
  8. Проверка Роскомнадзора: на что обращают внимание инспекторы?  
  9. Какие персональные данные можно обрабатывать без уведомления:
  10. Обработка персональных данных управляющими организациями
  11. Об обработке персональных данных
  12. Об операторе по обработке персональных данных
  13. О согласии на обработку персональных данных
  14. Об ответственности за нарушение законодательства о персональных данных
  15. Как на работе правильно оформить допуск к персональным данным
  16. Как правильно организовать работу с персональными данными?
  17. Как оформить положение о защите персональных данных сотрудников
  18. Работа с персональными данными
  19. Оформляем документы для защиты личных данных работников
  20. Персональные данные: как работать по закону?
  21. Обработка персональных данных: документальное оформление
  22. Персональные данные: а вы готовы к проверке?
  23. 10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте
  24. Правила безопасности при работе с персональными данными
  25. Что делать? Срочно привести сайты в порядок! Проверки уже начались
  26. Какузнать,являетесь ливытем самым операторомперсональныхданных?
  27. А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?
  28. Какработатьсперсональнымиданными,ненарушаязакон?
  29. 10 правил по работе с персональными данными
  30. Почему владелец сайта должен регистрироваться?
  31. Чтоделать, если ваш сайт содержит формы и позволяет получать персональные данные?
  32. Как избежать возможных проблем (необходимая программа-минимум)
  33. Похожее
  34. Новое в работе с персональными данными
  35. Выложите на сайт компании Политику о персональных данных
  36. Скорректируйте Политику по рекомендациям Роскомнадзора
  37. Не берите у сотрудника универсальное согласие на обработку персданных
  38. Заготовьте шаблоны согласия на обработку персданных
  39. Не передавайте третьим лицам персданные работника без его письменного согласия
  40. Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные
  41. Оставьте в личных делах документы, по которым не достигли цели обработки персданных

Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов

Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

Согласно Федеральному закону №294-ФЗ плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит.

Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Тем более что в настоящее время Госдума рассматривает законопроект о значительном увеличении штрафов за нарушения в обработке персональных данных.

Виды проверок Роскомнадзора

Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными.

– Плановая проверка

О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит  уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.    

– Внеплановая проверка

Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.

– Документарная проверка

В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора.

– Выездная проверка

При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования Федерального закона №152-ФЗ.

В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.

Как выполнить требования законодательства и подготовиться к проверке Роскомнадзора?

Федеральный закон №152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований.

Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.

Но можно поступить проще — привлечь специалиста на аутсорсинге, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т д.

Если привлечение внешнего специалиста для вас дорого, сделайте выбор в пользу бюджетного варианта и используйте специальные онлайн-сервисы для выполнения законодательства о персональных данных.

Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:

  1. Для начала найдите в компании человека, который будет следить за выполнением законодательства в области персональных данных. Часто в компаниях малого и среднего бизнеса эта функция делегируется бухгалтеру, кадровику или юристу. Реже ее берет на себя руководитель. В крупных компаниях вопросами защиты информации может заниматься целый отдел.
  2. Назначьте ответственного за организацию обработки персональных данных в компании. Скорее всего, это будет тот же человек, который  занимается вопросами персональных данных.
  3. Изучите процесс обработки персональных данных в компании, например, какие персональные данные компания собирает, в каких целях. Компания может собирать персональные данные работников для выполнения трудового законодательства или данные клиентов для выполнения заключенных с ними договоров, ей также могут понадобиться персональные данные соискателей на вакантные должности. Возможно, компания передает эти данные в другую организацию,  например, данные сотрудников в бухгалтерию.
  4. На основе полученной информации разработайте пакет документов, включающий политику компании в отношении обработки персональных данных, положение по неавтоматизированной обработке, приказ о назначении ответственных и ряд других положений, приказов, инструкций и актов. Разработанные документы необходимо утвердить.
  5. Обязательно ознакомьте с утвержденными документами всех работников, которые имеют к ним отношение. Например, с положением по неавтоматизированной обработке нужно ознакомить только тех работников, которые работают непосредственно с бумажными документами, содержащими персональные данные.
  6. Основной документ — политику компании в отношении обработки персональных данных — разместите в общедоступном месте, чтобы каждый желающий мог ее прочесть. Лучше всего копию документа разместить на информационном стенде. Если у компании есть сайт, на котором собираются персональные данные пользователей, например, ФИО, телефон и e-mail для регистрации, то на сайте также нужно разместить политику, причем в том месте, где она будет заметна пользователю.
  7. Подайте уведомление в Роскомнадзор об обработке персональных данных. Уведомление оформляется в двух видах — электронном и печатном. 

Чтобы выслать уведомление в электронном виде, нужно на сайте Роскомнадзора заполнить электронную форму. После отправки электронного уведомления, распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.

В течение 30 дней Роскомнадзор рассмотрит ваше уведомление и добавит компанию в реестр операторов. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона №152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.

Проверка Роскомнадзора: на что обращают внимание инспекторы?  

Прежде всего, инспекторы захотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор. Компания, которая не отправила уведомление и не попадает под исключения закона, будет привлечена к ответственности.

Какие персональные данные можно обрабатывать без уведомления:

  1. данные, которые обрабатываются в соответствии с трудовым законодательством;
  2. данные, полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  3. данные, относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  4. данные, сделанные субъектом персональных данных общедоступными;
  5. данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
  6. данные, необходимые в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. данные, включенные в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. данные, обрабатываемые без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
  9. данные, обрабатываемые в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.

Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.

Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.

Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.

Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует  обратить внимание на то, как составлен договор с этими компаниями. Согласно ч.3 ст.

6 №152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных.

В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных. Роскомнадзор обязательно попросит копию договора.

В помещения, в которых обрабатываются персональные данные, должен быть контролируемый доступ. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.

Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами.

Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны.

Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.

В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то контролирующему органу придраться будет не к чему.

Елена Республиканская

Источник: https://kontur.ru/articles/1775

Обработка персональных данных управляющими организациями

Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

С 1 июля 2017 года ужесточилась ответственность за нарушение законодательства о персональных данных. С какими персональными данными приходится иметь дело управляющим организациям, что делать, если собственники не дают согласие на обработку персональных данных?

Об этом мы поговорили с Дмитрием Юрьевичем Артюхиным, руководителем Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Карелия.Я к вам пишу – чего же боле: Минкомсвязи разъяснило вопрос раскрытия информации, содержащей персональные данные

Об обработке персональных данных

Дмитрий Юрьевич, расскажите, что такое персональные данные и есть ли они в сфере ЖКХ?

Персональные данные – это любая информация, на основании которой можно однозначно идентифицировать конкретного человека.

Обработка персональных данных – любое действие, автоматизированное или не автоматизированное, которое совершается с персональными данными. Это сбор, запись, систематизация, накопление, хранение и уточнение данных.

К персональным данным мы относим фамилию, имя, отчество, дату и место рождения человека, данные документа, удостоверяющего личность. И много другой информации, на основании которой прямо или косвенно можно определить конкретного человека.

При этом нужно иметь ввиду, что если без получения дополнительной информации невозможно установить конкретного человека, то такая информация не является персональными данными.

Например, в СМИ размещены списки должников. В них указаны фамилии и инициалы. На основании этой информации идентифицировать человека нельзя. Совсем другое дело, если эти списки управляющая организация разместит в подъезде дома, в котором живёт человек.

Конечно, деятельность по управлению МКД связана с обработкой персональных данных. Каждая форма управления: управляющая организация, ТСЖ или даже непосредственное управление предусматривает сбор и обработку персональных данных.

Управляющие организации заключают с собственниками помещений договоры управления МКД, в которых обязательно указываются персональные данные.

Кроме того, УО как юридические лица имеют правоотношения со своими работниками, которые регулируются трудовым законодательством. Поэтому  управляющие организации являются операторами по обработке персональных данных.

ГИС, сдавайся!(часть VIII) Вносим в ГИС ЖКХ информацию о договоре управления

Об операторе по обработке персональных данных

Кто является оператором персональных данных?

В соответствии с законом оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или с другими лицами обрабатывает персональные данные. Такое лицо определяет цели обработки ПД и их состав.

Любое юридическое лицо, в том числе УО, ТСЖ и кооперативы, автоматически становится оператором персональных данных.

Кого должна уведомить УО о том, что она является оператором персональных данных?

Как указано в статье 22 Федерального закона N 152-ФЗ, оператор персональных данных до начала своей деятельности по обработке ПД должен направить уведомление в Роскомнадзор.

В части 2 этой же статьи есть перечень случаев, когда такое уведомление не требуется. Например, уведомление не нужно, если персональные данные обрабатываются в соответствии с главой 14 Трудового кодекса РФ.

Не нужно уведомлять Роскомнадзор, если персональные данные оператор получает по договору с субъектом персональных данных, при условии, что ПД не распространяются и не передаются третьим лицам.

Это же правило действует, если ПД относятся к членам общественного объединения или религиозной организации, являются общедоступными и состоят из фамилии, имени и отчества. Полный перечень можно прочитать в части 2 статьи 22 N 152-ФЗ.

Решение об отправке уведомления в уполномоченный орган принимает оператор персональных данных. При этом отправляет или не отправляет оператор уведомление, он всё равно остаётся оператором персональных данных.

Мы регулярно напоминаем юридическим лицам о необходимости отправлять нам уведомления (ст. 22 N 152-ФЗ). Если юридическое лицо не включено в реестр операторов персональных данных, это не освобождает его от контрольно-надзорных мероприятий.

Скорее наоборот, те юрлица, которые с нашей точки зрения, могут быть операторами персональных данных, обрабатывают ПД и не попадают в перечень, исключающий необходимость направления уведомления, но уведомление не направили,  вероятнее всего попадут в план проверок.

Требования к уведомлению в Роскомнадзор перечислены в части 3 статьи 22 N 152-ФЗ.Правомерность обнародования списка должников ЖКУ

О согласии на обработку персональных данных

Когда нужно заручиться согласием на обработку персональных данных?

Оператор персональных данных должен понимать, что обработка персональных данных может осуществляться только с согласия субъекта персональных данных или  при наличии других законных оснований. При этом, необходимо отметить, что каждый отдельный случай индивидуален.

Так, например, части 15, 16 статьи 155 ЖК РФ дают управляющим организациям возможность привлекать платёжных агентов для расчёта за пользование услугами собственниками жилья. При этом согласия субъекта на передачу персональных данных не требуется. Это законное основание не собирать согласие на обработку.

В ряде случаев необходимо получение согласия в письменной форме – в отношении специальных категорий персональных данных. Формат письменной формы установлен статьёй 9 закона «О персональных данных». Например, письменным согласием нужно заручиться для обработки биометрических персональных данных (ч. 1 ст. 11 N 152-ФЗ).

Кто несёт ответственность за персональные данные, если УО, которая обрабатывает персональные данные собственников, передаёт их по договору третьему лицу?

Если управляющая организация планирует поручить обработку персональных данных третьим лицам, у неё обязательно должно быть на то согласие субъекта персональных данных. Если такого согласия не будет, оператора привлекут к ответственности. Согласие получать не нужно, если это установлено федеральными законами.

Лицо, которое обрабатывает персональные данные по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Ответственность в этой ситуации несёт управляющая организация.

Что делать управляющей организации, если собственник не даёт согласие на обработку персональных данных?

Заставить собственника никак нельзя, нужно пытаться убедить, рассказывать, какие последствия могут возникнуть у субъекта в случае отказа в предоставлении согласия. Но в любом случае обработка ПД без согласия в  отсутствии иных законных оснований на обработку ПД не допускается.

Бремя доказывания наличия согласия на обработку ПД лежит на операторе персональных данных.Появятся ли персональные данные собственников помещений в МКД в открытом доступе?

Об ответственности за нарушение законодательства о персональных данных

Какие штрафы существуют и кто их выписывает?

До первого июля 2017 года за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных была установлена административная ответственность по статье 13.11 КоАП РФ. Для юридических лиц это предупреждение или наложение административного штрафа от пяти тысяч до десяти тысяч рублей.

Механизм  был следующий: Роскомнадзор проводил контрольно-надзорные мероприятия в области ПД. Если в ходе мероприятий выявлял нарушения, то сообщал о них в прокуратуру для принятия мер. Прокуратура рассматривала сообщение и в случае признания нарушения выносила постановление о возбуждении дела об административном правонарушении и направляла его в суд.

С первого июля ситуация изменилась. Новая редакция статьи 13.11 КоАП РФ более детализирована, в ней теперь семь составов, все они связаны с обработкой персональных данных. Увеличиваются штрафы, у Роскомнадзора появились полномочия составлять протоколы, то есть возбуждать дела об административных правонарушениях, минуя прокуратуру.

Максимальный штраф, предусмотренный статьёй 13.11 КоАП РФ в новой редакции, – 75 000 рублей. Его можно будет получить за обработку персональных данных без получения согласия субъекта персональных данных в письменной форме, если оно предусмотрено законом.

Источник: https://roskvartal.ru/deyatelnost-uk/8029/roskomnadzor-ob-obrabotke-personalnyh-dannyh

Как на работе правильно оформить допуск к персональным данным

Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (ст. 192 ТК РФ).

Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 238 ТК РФ).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

  • для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
  • для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб.

Как правильно организовать работу с персональными данными?

ФЗ и рядом иных актов);

  • проводится обработка персональных данных близких родственников сотрудника в объеме, предусмотренном личной карточкой (по унифицированной форме № Т-2 или самостоятельно разработанной форме), а также в случаях получения алиментов, оформления социальных выплат и допуска к государственной тайне;
  • обработка сведений о состоянии здоровья сотрудника относится к вопросу о возможности выполнения им трудовой функции;
  • обработка данных связана с выполнением сотрудником должностных обязанностей, в том числе при его командировании;
  • обработка персональных данных проводится при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя при условии, что организация пропускного режима осуществляется работодателем самостоятельно.

Как оформить положение о защите персональных данных сотрудников

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т.
ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Работа с персональными данными

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно.

При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п.

17 Внимание Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Проверки соблюдения требований к обработке персональных данных Проверки работодателя по вопросам обработки им персональных данных проводит Роскомнадзор.

Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент исполнения данной службой функций по осуществлению государственного контроля (надзора).

Оформляем документы для защиты личных данных работников

Персональные данные и их обработка Правовая база к вопросу о персональных данных включает в себя следующие документы:

  • Трудовой кодекс РФ;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных»).

Итак, согласно Закону «О персональных данных», персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, к персональным данным относятся имя и фамилия, номера мобильных телефонов и паспортные данные, а также множество другой информации, без которой невозможно вести трудовые отношения с человеком.

Персональные данные работников являются конфиденциальной информацией.

Персональные данные: как работать по закону?

Важно Форма уведомления о намерении осуществлять обработку персональных данных, а также Рекомендации по ее заполнению утверждены приказом Роскомнадзора от 19 августа 2011 г. № 706. Кроме того, подробный перечень сведений, которые должны быть указаны в уведомлении, приведен в части 3 статьи 22 Закона от 27 июля 2006 г.

№ 152- ФЗ. Работодатель может направить уведомление в бумажном виде в адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (ч. 3 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ).

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган.

Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме (ч.

7 ст.

Обработка персональных данных: документальное оформление

Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе. Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования.

Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон.
Но если вы вооружены достаточными знаниями, административных рисков можно избежать.

Персональные данные: а вы готовы к проверке?

Об этом говорится в пунктах 1–5 разъяснений Роскомнадзора от 14 декабря 2012 г. Также работодателю следует помнить, что не требуется получать согласие уволенного сотрудника на обработку его персональных данных для целей налогового и бухгалтерского учета.


Не распространяется законодательство о персональных данных и на материалы, переданные в архивную организацию для архивного хранения, поэтому такое хранение не требует получения согласия сотрудника на обработку его персональных данных.

Это следует из положений абзацев 6–10 пункта 5 разъяснений Роскомнадзора от 14 декабря 2012 г.

Все возможные случаи, когда согласие на обработку персональных данных не требуется, приведены в пунктах 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27 июля 2006 г. № 152-ФЗ.

  • Контроль исполнения настоящего приказа оставляю за собой.

Источник: http://law-uradres.ru/kak-na-rabote-pravilno-oformit-dopusk-k-personalnym-dannym/

10 правил работы с персональными данными. Как избежать штрафа за контактную форму на сайте

Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

Вниманию сайтовладельцев! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей (за одно обнаруженное нарушение). У вас на сайте есть контактная форма? Значит, скорее всего это касается и вас.

Прокуратуры уже штрафуют компании и суды их поддерживают. Помимо штрафов в пользу государства за нарушение правил обработки персональных данных может быть также взыскана компенсация морального вреда и определена иная ответственность.

Правила безопасности при работе с персональными данными

В феврале 2017 года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных, которые вступят в силу 1 июля. Нововведения коснутся всех, кто получает, собирает, обрабатывает или хранит персональные данные.

Штрафы увеличены в десятки раз и разделены по видам нарушений. Так, если на сайте не размещена политика конфиденциальности, то штраф для ИП составит 10 тысяч рублей, а для компании — 30 тысяч.

До 75 тысяч рублей составит штраф для юрлица, если посредством сайта обрабатываются персональные данные клиента интернет-магазина или подписчика на информационный ресурс без его согласия (директор компании или ИП должен будет заплатить до 20 тысяч). И т.д.

Если будет зафиксировано несколько нарушений, штрафов будет тоже несколько.

Что делать? Срочно привести сайты в порядок! Проверки уже начались

Сейчас протоколы о нарушениях имеет право выписывать только прокуратура, и размер штрафа вне зависимости от вида нарушения составляет для юрлица 10 тысяч рублей, а для ИП или директора — 1000 рублей. С 1 июля уже в соответствии с более высокими ставками и, по всей видимости более рьяно, выписывать протоколы будет Роскомнадзор.

Какузнать, являетесь ливытем самым операторомперсональныхданных?

Персональные данные согласно Федеральному закону «О персональных данных» — это любые данные о человеке, по которым его можно идентифицировать. При этом в законе не содержится перечня типов таких данных, поэтому приходится исходить из общей логики закона и практики, и «дуть на воду».

К примеру, по имени пользователя или логину нельзя понять, что это за человек, то по имени и телефону или ФИО и электронной почте уже можно некоторым образом идентифицировать человека, а значит получение подобного сочетания уже может определяться как сбор и хранение персональных данных.

Итак, скорее всего, вы уже являетесь оператором персональных данных, если каким-то образом получаете от людей, к примеру, следующую информацию (в любом сочетании): фамилию, имя, отчество, какой-либо физический адрес, электронную почту, номер телефона, дату или место рождения, фото, ссылку на персональный сайт или соцсети, профессию, образование, уровень доходов, семейное положение и т.д..

На практике это означает, что все владельцы сайтов, которые содержат личные кабинеты, формы обратной связи, подписки или регистрации, анкеты и т.д.

, одним словом заполняемые формы, где посетитель должен оставить свои данные — это операторы персональных данных.

Даже если на сайте есть лишь популярные нынче кнопки заказа обратного звонка (пользователь оставляет имя и номер телефона) или отправки сообщения (имя и электронный адрес) — это тоже может быть квалифицировано как обработка персональных данных.

А записи в моей телефонной книжке тоже считаются сбором и хранением персональных данных?

Нет. На данные, которые вы храните для личных и семейных нужд, данный закон не распространяется. Но если вы передадите эти данные лицу или организации, которая согласно данному закону является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.

Какработатьсперсональнымиданными, ненарушаязакон?

Как минимум необходимо выполнить и соблюдать 10 нижеследующих правил.

10 правил по работе с персональными данными

  • публиковать в открытом доступе всю информацию о ваших принципах взаимодействия и работы с персональными данными клиентов и посетителей вашего предприятия или ресурса;
  • запрашивать только те данные, которые нужны для каждой конкретной цели. Например, нельзя запрашивать паспортные данные или домашний адрес для осуществления рассылки по электронной почте;
  • перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, получать письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение. В случае, если данные не публикуются, а используются исключительно для обработки внутри компании, необходимо явным образом ограничить возможность передачи вам персональных данных без согласия на их обработку*;
  • использовать данные только для тех целей, о которых вы предупредили человека и которые указаны в опубликованных вами документах, касающихся работы с персональными данными;
  • сообщать по запросу человека, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали;
  • удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе;
  • хранить базы данных в надёжном месте, защищать их от взлома и утечки;
  • назначить лицо, ответственное за обеспечение безопасности персональных данных и соблюдения определённых ФЗ N152 правил работы с персональными данными;
  • обучить сотрудников работе с персональными данными;
  • зарегистрироваться в Роскомнадзоре. Форма уведомления на сайте Роскомнадзора — //pd.rkn.gov.ru/operators-registry/notification/form/

*Согласно Закону обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Законе, возлагается на оператора.

Почему владелец сайта должен регистрироваться?

По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.

Чтоделать, если ваш сайт содержит формы и позволяет получать персональные данные?

Если ваш сайт даёт возможность получать персональные данные и вы до сих пор не выполнили перечисленные выше условия, то уже сейчас может быть зафиксировано нарушение и уже сейчас вас могут оштрафовать.

Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

Как избежать возможных проблем (необходимая программа-минимум)

1) Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта.

Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных как, например, у «Озона» (//ozon.ru/context/detail/id/137942530/).

Как бы не назывался этот документ, он должен содержать правила и условия обработки персональных данных.

2) Не используйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели использования персональных данных необходимо прописать свои.

То, что требуется типографии для оформления заказа или интернет-магазину для доставки товара, не понадобится для e-mail рассылки.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3) Реализуйте программное решение, которое гарантирует однозначное установление того, что человек согласился на обработку персональных данных.

Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

Для подстраховки можно заверить у нотариуса распечатанные скриншоты веб-страниц с формами, прокомментировав их сопроводительным текстом (к примеру, «на момент заверения указанные на данной распечатке кнопки работали согласно описанному в преамбуле функционалу и без их активации пересылка данных была технически невозможна»).

4) Подготовьте внутренние документы, регламентирующие правила хранения и обработки персональных данных, и ответственности сотрудников, которые имеют к ним доступ.

5) Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор. Если стопроцентно  уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было явно понятно и возможным проверяющим.

Например, можно указать в политике работы с персональными данными, что они используются только для исполнения конкретных договоров, или зафиксировать в документации, что данные открыты для общего доступа по желанию пользователя (но помните, что доказывание этого факта Закон возлагает на оператора).

Для составления необходимой документации и соблюдения всех требований Закона рекомендуется воспользоваться услугами квалифицированного юриста.

Похожее

Источник: https://press.spb.ru/10-pravil-rabotyi-s-personalnyimi-dannyimi/

Новое в работе с персональными данными

Оформляем документы в Роскомнадзор для работы с персональными данными сотрудников

Две новости: хорошая и плохая. Плохая: появятся два новых штрафа за нарушения в работе с персональными данными. Подробнее об этих изменениях узнаете чуть ниже. 

Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не требуются, компанию оштрафуют на 50 тыс. руб., ч. 1 ст. 13.11 КоАП.

Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки, ч. 5 ст. 5 Закона № 152-ФЗ.

Как только вы выполнили необходимые действия и процедуры, оформили кадровые документы, предоставили сотруднику гарантии и компенсации и т. д., персональные данные больше не нужны.

Копии документов верните сотруднику или уничтожьте.

Хорошая новость — мы разработали способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу — узнаете из статьи.

Выложите на сайт компании Политику о персональных данных

Опубликуйте или иным образом обеспечьте неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных, ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ. Политика в области обработки персональных данных — обязательный документ для каждого работодателя.

Вы не можете сократить количество локальных актов и утвердить только Положение о порядке обработки и защите персональных данных. Если у вас нет Политики либо она есть, но вы не опубликовали ее на сайте или другим способом не обеспечили к ней свободный доступ, компании придется платить штраф до 30 тыс. руб., ч. 3 ст. 13.11 КоАП.

Компания должна утвердить Положение о защите персональных данных и другие локальные акты, установить в них порядок обработки персональных сведений, права и обязанности сотрудников в этой области, п. 8 ст. 86 ТК. Но эти локальные акты не заменят Политику, выбрать один из документов не получится.

Если у вас нет Политики, как можно скорее утвердите документ. За образец возьмите наше Положение о политике компании в отношении обработки персональных данных.

Если у вас есть Политика, убедитесь, что редакция документа актуальная и он доступен по ссылке на официальном сайте компании.

https://onedrive.live.com/embed?cid=D76A71F883094701&resid=D76A71F883094701%2115380&authkey=AHv0Omdec79Q70s&em=2&wdAr=1.3333333333333333

Скорректируйте Политику по рекомендациям Роскомнадзора

Чтобы избежать претензий к содержанию Политики, приведите ее в соответствие с рекомендациями Роскомнадзора.

Убедитесь, что в документе есть необходимая информация, даже если вы указали ее в других разделах. Если сведений не хватает, дополните Политику и не забудьте разместить новую редакцию на сайте.

Если содержание вашей Политики сильно отличается по составу сведений от рекомендованного Роскомнадзором, советуем утвердить новый документ и заменить старую версию на сайте.

Работодателя, который без согласия работника передаст его персональные данные третьим лицам, будут штрафовать на сумму от 20 тыс. до 40 тыс. рублей. Депутаты предлагают выделить это нарушение в отдельный состав. Утверждают, что «это повысит эффективность защиты прав работников».

Напомним, что сейчас за разглашение без согласия работника его персданных третьим лицам, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. рублей, но по ч. 2 ст. 13.11 КоАП.

Второй новый штраф грозит тем, кто хранит персональные данные сотрудников в зарубежных базах данных. Должностное лицо за это заплатит от 10 тыс. до 20 тыс. рублей, компания – от 15 тыс. до 75 тыс. рублей. 

Собирать, хранить, уточнять и т.д. персональные данные работодатели должны с использованием баз данных, которые находятся на территории России, ч. 5 ст. 18 Закона от 27.07.2006 № 152–ФЗ о персданных.

Это требование появилось еще три года назад – 1 сентября 2015 года. Теперь депутаты обнаружили, что ответственности за нарушение данного требования до сих пор нет, и решили дополнить ст. 13.

11 новой частью с максимальным штрафом в 75 тыс. рублей.

Проект закона с поправками в КоАП уже прошел общественное обсуждение и антикоррупционную экспертизу

Не берите у сотрудника универсальное согласие на обработку персданных

Не тратьте зря время и не берите при приеме на работу у сотрудника универсальное согласие на обработку персональных данных, которое будет действовать вплоть до увольнения.

Письменное согласие должно быть «конкретным, информированным и сознательным», п. 1 ст. 9 Закона № 152-ФЗ.

Универсальное согласие, которое вы берете «на все случаи жизни», этим требованиям не соответствует, а значит, можно считать, что согласие работника вы не получили.

Если вы обработали персональную информацию без письменного согласия сотрудника, когда оно требовалось, должностное лицо оштрафуют от 10 до 20 тыс. руб., а компанию — от 15 до 75 тыс., ч. 2 ст. 13.11. КоАП.

Компания вправе обрабатывать персданные только с письменного согласия сотрудника, ч. 4 ст. 9 Закона № 152-ФЗ. Обойтись без этого документа можно в случаях, которые называет закон. В других ситуациях запрашивайте у сотрудника отдельное письменное согласие.

Получите без письменного согласия работника его персональные данные у третьих лиц, тоже нарушите закон. По общему правилу персональные данные работника можно получить только у него самого. Если хотите взять сведения о работнике, например, в образовательном учреждении, на прежнем месте работы, заручитесь письменным согласием.

Заготовьте шаблоны согласия на обработку персданных

Чтобы избежать ошибок и экономить время, не составляйте каждый раз заново согласие на обработку персданных. Заготовьте шаблон и дополняйте его новыми данными по ситуации.

Возьмете у работника письменное согласие, а в документе не окажется обязательных сведений, компанию оштрафуют на 75 тыс. руб., ч. 2 ст. 13.11 КоАП.

В письменном согласии на обработку персональных данных укажите, ч. 4 ст. 9 Закона № 152-ФЗ.

  • фамилию, имя, отчество, адрес сотрудника;

  • реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

  • наименование и адрес вашей компании;

  • цель обработки персональных данных;

  • перечень персональных данных, на обработку которых дает согласие сотрудник;

  • перечень действий с персональными данными, на совершение которых сотрудник дает согласие;

  • способы обработки персданных, которые используете;

  • срок, в течение которого действует согласие сотрудника, и как его можно отозвать.

Проследите, чтобы эта информация была в шаблоне, а затем и в каждом письменном согласии сотрудника.

Согласие на обработку персданных сотрудник должен подписать лично или поставить электронную подпись на электронном документе, ч. 4 ст. 9 Федерального закона № 152-ФЗ.

Сотрудник может в любое время отозвать согласие на обработку персональных данных. Сообщите сотрудникам об этой возможности.

Чтобы они не отвлекали вас каждый раз от работы с вопросом, что писать в таком документе, приложите шаблон письменного отзыва к Положению о защите персональных данных.

Чтобы получить данные сотрудника у третьих лиц, направьте ему письменное уведомление. В документе сообщите, с какой целью, откуда и как собираетесь получать его персональные данные, а также укажите последствия, если сотрудник не даст письменного согласия, п. 3 ч. 1 ст. 86 ТК. Сохраните шаблон уведомления, чтобы каждый раз не составлять его заново.

Не передавайте третьим лицам персданные работника без его письменного согласия

Если сотрудник устно попросит вас передать третьему лицу информацию, которая содержит его персданные, не делайте этого.

Вы не вправе передать третьим лицам персданные сотрудника или бывшего работника без их письменного согласия. Устной просьбы в этой ситуации недостаточно.

Такое нарушение проверяющие расценят как обработку данных без письменного согласия сотрудника и оштрафуют от 15 до 75 тыс. руб., ч. 2 ст. 13.11. КоАП.

Сотрудник или бывший работник может указать компанию в перечне рекомендателей, поручителей и других лиц, которые могут предоставить информацию.

Однако даже если работник вас об этом попросит лично, не сообщайте сведения о нем, пока не принесет письменное заявление.

Прежде чем направить сведения о сотруднике третьим лицам, убедитесь, что они имеют право получить эту информацию, а сотрудник письменно просит, чтобы вы ее передали.

Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные

Чтобы избежать штрафа за незаконную передачу персданных, объясните работникам, что сведения об их работе, зарплате и т. д. вы сообщите третьим лицам только по письменному заявлению.

Оптимизируйте процесс: приложите шаблон такого заявления к Положению о защите персданных.

Бывшим работникам объясните, что они должны лично прийти в отдел кадров или прислать заявление по почте.

Если письменного заявления сотрудника нет, а вы получаете от третьих лиц устный запрос или письменную просьбу предоставить персональные сведения, не отвечайте по существу.

Уточните, кто и с какой целью хочет получить персональные данные вашего нынешнего или бывшего сотрудника. После сообщите сотруднику, что о нем пытаются получить сведения, и спросите, дает ли он согласие на это.

Советуем оформить письменное уведомление.

Если сотрудник даст письменное согласие, передавайте конфиденциальные данные третьему лицу.

Когда будете передавать персональные данные сотрудника, сообщите получателю о статусе сведений и обязанности использовать персональные данные только в законных целях.

Если сотрудник откажется передавать сведения о себе третьим лицам, пусть напишет отказ на запрос.

Оставьте в личных делах документы, по которым не достигли цели обработки персданных

Храните персональные данные, пока не достигли цели их обработки. Вы не можете подшивать в личные дела все личные документы и копии, даже если получили их от работника.

Снимайте и заверяйте копии только для определенных целей. Когда достигнете цели, уничтожьте копию документа.

Источник: http://cokps.ru/2018/09/20/novoe-v-rabote-s-personalnymi-dannymi/

Центр права
Добавить комментарий