Положение по персональным данным

Содержание

Открыть в формате Word

1. Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации»

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

— анкетные и биографические данные;

— образование;

— сведения о трудовом и общем стаже;

— сведения о составе семьи;

— паспортные данные;

— сведения о воинском учете;

— сведения о заработной плате сотрудника;

— сведения о социальных льготах;

— специальность,

— занимаемая должность;

— наличие судимостей;

— адрес места жительства;

— домашний телефон;

— место работы или учебы членов семьи и родственников;

— характер взаимоотношений в семье;

— содержание трудового договора;

— состав декларируемых сведений о наличии материальных ценностей;

— содержание декларации, подаваемой в налоговую инспекцию;

— подлинники и копии приказов по личному составу;

— личные дела и трудовые книжки сотрудников;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

— копии отчетов, направляемые в органы статистики.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.

3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

— бухгалтерии;

— сотрудники службы управления персоналом;

— сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным сотрудника имеют:

— генеральный директор организации;

— руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

— при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

— сам работник, носитель данных.

— другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.

4.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

— налоговые инспекции;

— правоохранительные органы;

— органы статистики;

— страховые агентства;

— военкоматы;

— органы социального страхования;

— пенсионные фонды;

— подразделения муниципальных органов управления;

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5. «Внутренняя защита».

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

— ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

— строгое избирательное и обоснованное распределение документов и информации между работниками;

— рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

— знание работником требований нормативно — методических документов по защите информации и сохранении тайны;

— наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

— определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

— организация порядка уничтожения информации;

— своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

— воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

— не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, — руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника).

5.5.3. Защита персональных данных сотрудника на электронных носителях.

Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. «Внешняя защита».

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

— порядок приема, учета и контроля деятельности посетителей;

— пропускной режим организации;

— учет и порядок выдачи удостоверений;

— технические средства охраны, сигнализации;

— порядок охраны территории, зданий, помещений, транспортных средств;

— требования к защите информации при интервьюировании и собеседованиях.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8. По возможности персональные данные обезличиваются.

5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

— требовать исключения или исправления неверных или неполных персональных данных.

— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

— персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

— определять своих представителей для защиты своих персональных данных;

— на сохранение и защиту своей личной и семейной тайны.

6.4. Работник обязан:

— передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

— своевременно сообщать работодателю об изменении своих персональных данных

6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Составил:

менеджер по персоналу Е.Н.Побегайло

СОГЛАСОВАНО

Юрисконсульт

__________________С.Г.Дмитраш

Защита персональных данных

Актуально на: 24 июля 2017 г.

Персональные данные – это различного рода информация, которая относится к определенному физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е. происходит их сбор, систематизация, накопление, хранение, передача, уничтожение и т.д. Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных. Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников. Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д. Важность этой области подтверждается тем, что в ТК РФ вопросам защиты персональных данных работников посвящена отдельная глава – гл. 14 «Защита персональных данных работника». О защите персональных данных в организациях расскажем в нашей консультации и приведем образец Положения о защите персональных данных работников 2017.

Политика обработки и защиты персональных данных работников

Общие требования к обработке персональных данных работника, а также вопросы защиты персональных данных на предприятии содержатся в ст. 86 ТК РФ.

Так, ТК РФ устанавливает, в частности, следующие аспекты обработки и защиты персональных данных:

  • обработка персональных данных работника производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работника нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работника от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников и их представителей с порядком обработки персональных данных работников, а также с их правами и обязанностями в этой области.

При этом требования к защите персональных данных работников не могут рассматриваться в отрыве от вопросов передачи персональных данных. Так, работодатель при передаче персональных данных работника обязан соблюдать определенные требования.

К ним, в частности, относятся (ст. 88 ТК РФ):

  • по общему правилу не сообщать персональные данные работника третьей стороне без письменного согласия работника;
  • предупреждать лиц, которые получают персональные данные работника, что эти данные могут использоваться лишь в целях, для которых были сообщены;
  • передавать персональные данные работника в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам;
  • не запрашивать информацию о состоянии здоровья работника (кроме случаев, связанных с проверкой возможности выполнять работником трудовую функцию).

В то же время, согласие работника на передачу персональных данных требуется не всегда. Так, согласие не требуется, когда передача персональных данных необходима для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ) или необходима на основании других Федеральных законов (сюда относятся, к примеру, сведения в ПФР, ФСС, налоговые органы и т.д.).

Ответственность за нарушение требований по защите персональных данных

Ответственность за нарушения требований по обработке и защите персональных данных работника разнообразная. Она касается, как работников, так и самого работодателя.

К примеру, работник может быть уволен за разглашение ставших известными ему при исполнении своих трудовых обязанностей персональных данных другого работника. Ведь это будет считаться грубым нарушением работником своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

А, например, обработка персональных данных в случаях, не предусмотренных законодательством РФ, может повлечь штраф на должностных лиц от 5 000 до 10 000 рублей, а на организацию-работодателя – от 30 000 рублей до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

Обращаем внимание, что штрафы с 01.07.2017 существенно выросли. Если раньше максимальный штраф на организацию за нарушение порядка сбора, хранения, использования или распространения персональных данных составлял 10 000 рублей, то с 01.07.2017 он вырос до 75 000 рублей.

Положение о защите персональных данных 2017: образец

Учитывая, что работники имеют право на полную информацию об их персональных данных и обработке этих данных, работодатель обязан ознакомить их с соответствующими документами (абз. 2 ст. 89 ТК РФ). Для этих целей может быть разработано Положение о защите персональных данных, с которым работодатель обязан знакомить всех вновь принимаемых работников.

Приведем пример Положения об обработке и защите персональных данных, размещенного в справочно-правовой системе КонсультантПлюс.

>Какие сроки хранения персональных данных работников в электронных системах?> Вопрос

Какие сроки хранения персональных данных работников в электронных системах?

Ответ

Ответ на вопрос:

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ.

Большинство организаций используют электронные системы хранения и обработки персональных данных.

Читайте о видах персональных данных, чтобы не совершать ошибок.

При обработке таких данных работодатель должен обеспечить их защиту в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012 N 1119.

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были составлены (абз. 4 п. 1.4 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558).

Согласно п. 666 Перечня документы (заявления работника о согласии на обработку персональных данных, сведения, уведомления) о субъекте персональных данных хранятся 75 лет.

Вам будет полезно узнать о сроках хранения электронных документов в материале по ссылке.

Итак, в общем случае документы нужно хранить не менее 75 лет, если они созданы до 2003 года. Если указанные документы созданы после 2003 года, то их нужно хранить не менее 50 лет.

Сроки хранения касаются и электронных документов, содержащих персональные данные.

При этом отметим также, что хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

Подробности в материалах Системы Кадры:

1. Ситуация: Сколько лет нужно хранить кадровые документы

Сроки, в течение которых нужно хранить документы по личному составу, указаны в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ и перечне, утвержденном приказом Минкультуры России от 25 августа 2010 г. № 558. Началом срока хранения документов считается 1 января года, следующего за годом, в котором они были составлены (абз. 4 п. 1.4 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558).

Так, приказы о приеме на работу, переводе, увольнении, об отпуске без сохранения зарплаты и другие приказы по личному составу, а также заявления сотрудников, если они хранятся в их личных делах, в общем случае нужно хранить не менее 75 лет, если они созданы до 2003 года. Если указанные документы созданы после 2003 года, то их нужно хранить не менее 50 лет.

Трудовые договоры, личные карточки и личные дела сотрудников также нужно хранить в течение 75 лет, если они созданы до 2003 года, или в течение 50 лет, если они созданы после 2003 года, а личные дела руководителей – постоянно. Также постоянно положено хранить штатное расписание.

При этом любые документы по личному составу, которые образовались в период госслужбы, не являющейся государственной гражданской службой, нужно хранить 75 лет независимо от даты их создания.

Такой порядок предусмотрен в статье 22.1 Закона от 22 октября 2004 г. № 125-ФЗ.

Приказы о предоставлении ежегодных и учебных отпусков, направлении в командировки на территории России (равно как и другие документы о командировках: задания, отчеты и т. п.), а также приказы о взысканиях и заявления сотрудников, если они хранятся отдельно, а не в личных делах, достаточно хранить только пять лет.

Такой вывод следует из пунктов 19 и 665 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558.

Внимание: изменения в сроки хранения документов по личному составу, которые внесла статья 22.1 Закона от 22 октября 2004 г. № 125-ФЗ, касаются только документов, срок хранения которых ранее составлял 75 лет. При этом законодатели допустили недоработку, поскольку формально добились увеличения сроков хранения для всех групп документов по личному составу. А именно для тех, по которым предусмотрен срок хранения пять лет согласно пунктам 19 и 665 перечня, утвержденного приказом Минкультуры России от 25 августа 2010 г. № 558. В настоящее время готовится законопроект, который внесет изменения в Закон от 22 октября 2004 г. № 125-ФЗ и устранит возникшую недоработку. Как разъясняют специалисты Роструда, до принятия этих изменений следует применять сложившуюся систему определения сроков хранения документов согласно перечню, утвержденному приказом Минкультуры России от 25 августа 2010 г. № 558, во избежание каких-либо недоразумений и штрафов и не выделять к уничтожению документы по личному составу.

Материалы по аттестации рабочих мест следует хранить 45 лет, а при тяжелых, вредных или опасных условиях труда – 75 лет.

Правила трудового распорядка храните даже после замены их новыми. Срок хранения – один год. Годичный срок хранения установлен и для графиков отпусков.

Срок, в течение которого нужно хранить документы, подтверждающие, что сотрудник получил образование за счет организации, обусловлен требованиями налогового законодательства. Дело в том, что пунктом 3 статьи 264 Налогового кодекса РФ установлено, что для списания данных затрат в уменьшение налогооблагаемой прибыли организация должна хранить все подтверждающие обучение документы (договор с образовательным учреждением, приказ руководителя о направлении сотрудника на обучение, акт об оказании услуг, диплом, аттестат, сертификат и т. п.). Их срок хранения ограничивается сроком действия договора обучения и одним годом работы сотрудника, но не менее четырех лет.

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

2. Журналы и книги:

№2Февраль 2016

Андрей Слепов, старший юрист, руководитель практики трудового и миграционного права международной юридической фирмы БАЙТЕН БУРКХАРДТ

Специфика

Трудовой договор

Хранение персональных данных в России. Какие особенности есть для сведений о работниках

  1. Считается ли архив с личными делами работников базой данных
  2. Кто вправе не сообщать в Роскомнадзор об обработке персональных данных
  3. Как составить согласие работника на обработку данных при переходе на аутсорсинг

С осени 2015 года Базы данных с персональной информацией о россиянах нужно хранить в России. правда, в законе есть норма, которая допускает исключение для сведений о работниках. Но сформулирована она неоднозначно. Как ее будут применять Роскомнадзор и трактовать суды — пока неясно.

С 1 сентября 2015 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и некоторые другие законы. Изменения касаются локализации баз персональных данных в России (Федеральный закон от 21.07.2014 № 242-ФЗ; далее — Закон № 242-ФЗ). Главное требование — обрабатывать персональные данные граждан России на территории страны. Контролировать это правило будет Роскомнадзор. Именно в это ведомство нужно отправить уведомление о начале обработки персональных данных. Не забудьте указать адрес нахождения базы данных и наименование системы, например, 1С. Если сведения изменятся, то отправьте информационное письмо. Бланк и формулировку придумывать не придется. Нужные формы уже утверждены.

И, конечно, контролируйте сохранность сведений о работниках. Ограничьте доступ к персональным данным и определите, кто имеет право работать с трудовыми книжками, личными делами и зарплатными ведомостями.

Хранение персональных данных

Что такое локализация баз данных и на кого она распространяется?

Суть локализации базы данных в том, чтобы хранить информацию с персональными данными граждан России на территории страны. Причем не важно, собрал работодатель сведения на бумажных носителях или через интернет. Это следует из ч. 5 ст. 18 Закона № 152-ФЗ, п. 7 ч. 1 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ (далее — Закон № 149-ФЗ).

Пример базы данных с персональными данными — это таблица с информацией о клиентах, контактных лицах клиентов компании. Работа с такой базой предполагает:
— хранение,
— накопление,
— уточнение,
— систематизацию и др. виды обработки.

Правило о локализации баз данных в первую очередь затрагивает интересы организаций, которые входят в международные группы компаний, и филиалы (представительства) иностранных фирм. Но оно также может коснуться российских компаний, например, использующих услуги провайдеров облачных сервисов; часто серверные мощности, предоставляемые такими провайдерами, находятся за границей.

Можно ли хранить базу данных на сотрудников за границей?

До того, как появятся однозначные официальные разъяснения и судебная практика по данному виду споров, рекомендуется хранить базы данных сотрудников на территории России.

Со временем работодатель сформирует базы данных:
— на персонал (работающий, уволенный);
— контрагентов (ФИО директоров, главных бухгалтеров и других ключевых фигур);
— клиентов (с адресами доставки и другими данными).

Формально персональные данные работников работодатель вправе обрабатывать не только на территории России, но и за границей. Ведь ч. 5 ст. 18 Закона № 152-ФЗ не запрещает трансграничную передачу данных. Кроме того, есть исключения из правила о локализации баз данных. Например, когда работодатель обрабатывает персональные данные для достижения целей, предусмотренных законом. Или если работодатель выполняет функции, полномочия и обязанности, которые возложены на него законодательством.

Работодатель обязан собрать и обработать данные о работнике при заключении трудового договора (ст.ст. 57, 64 ТК РФ). Так, в каждом договоре указываются его ФИО и паспортные данные, а эта информация — персональные данные (п. 1 ст. 3 Закона № 152-ФЗ). В последующем работодатель также собирает и обрабатывает сведения о работнике, например, о статусе одинокой матери при принятии решения об увольнении (ч. 2 ст. 179, ч. 4 ст. 261 ТК РФ). То есть персональные данные обрабатываются, чтобы выполнить требования закона.

На заметку:

персональные данные — любая информация, по которой можно определить, что речь идет о конкретном работнике (п. 1 ст. 3 Закона № 152-ФЗ, подп. «а» ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключена в г. Страсбурге 28.01.1981).

Однако спорным является то, насколько необходима обработка данных за рубежом.

В январе 2015 года Минкомсвязи выпустило неофициальное разъяснение (письмо от 19.01.2015 № П12-722-ОГ). Мнение чиновников было выгодно для работодателей – иностранных компаний, которые действуют в России через представительство или филиал. Позиция Минкомсвязи такова: на оператора-работодателя в отношении обработки персональных данных работника требования Закона № 242-ФЗ не распространяются.

Этот подход логичен. Например, компания открывает в России небольшое представительство, в котором отсутствует кадровый работник. Вопросы кадров решают сотрудники головного офиса или иностранного регионального центра. В такой ситуации обосновано, что база данных находится за пределами России.

Но уже в августе 2015 года чиновники из Минкомсвязи скорректировали позицию. Она стала менее категоричной: правильно ли работодатель применил исключение из ч. 5 ст. 18 Закона № 152-ФЗ — проверит Роскомнадзор при контрольных мероприятиях. Разъяснения включены в раздел «Ответы на часто задаваемые вопросы».

Поэтому лучше хранить информацию о работниках на территории России. Если этому мешают организационные моменты, нужно будет доказать, что работодатель обрабатывает персональные данные за пределами РФ в силу закона.

К слову сказать:

положение об обработке персональных данных нужно разработать в каждой компании (ст. 86–88 ТК РФ). И не забудьте ознакомить с положением каждого работника при приеме на работу (ч. 3 ст. 68 ТК РФ).

Шкаф с личными делами работников — это база данных или нет?

Вы узнаете больше об изменении персональных данных работника, если перейдете в материал.

Роскомнадзор рассматривает шкаф как базу данных, а Минкомсвязи — нет. Судебной практики по данному вопросу нет.

Минкомсвязи считает, что база данных может быть только электронной. При этом чиновники ссылаются на ст. 1260 ГК РФ; в ней раскрыто понятие «база данных». Под базой данных понимают систематизированные материалы, которые можно найти и обработать с помощью электронно-вычислительной машины (ЭВМ). К материалам относятся статьи, расчеты, нормативные акты, судебные решения и иные подобные материалы.

Роскомнадзор к базам данных относит, в том числе:
— электронные файлы в формате Excel или Word (списки, таблицы);
— архивы, картотеки на бумажных носителях.

Свою позицию чиновники разъяснили в письме от 19.01.2015 № 08АП-3572. Вывод обосновали ст. 2 Модельного закона о персональных данных (принят в г. Санкт-Петербурге 16.10.1999).

Цитируем документ
«База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных)».

Пока не ясно, какая позиция возобладает на практике. Представляется, что позиция Минкомсвязи, которая основана на российском законодательстве, имеет больше шансов стать основной. Но проверять компанию на соблюдение законодательства о персональных данных будет Роскомнадзор (п. 1 Положения, утв. постановлением Правительства РФ от 16.03.2009 № 228). Поэтому до появления судебной практики и официальных разъяснений можно рассматривать шкаф с личными делами как базу данных. На что влияет объем понятия базы данных — раскрывается в настоящей статье ниже.

На какой территории можно обрабатывать данные повторно, если их собрали и сохранили в России?

Вторичную (последующую) обработку персональных данных в форме хранения и иным образом, указанном в Законе № 242-ФЗ, нужно вести в России. Несмотря на неоднозначные разъяснения Минкомсвязи, это наиболее безопасный способ обработки персональных данных.

На официальном сайте Минкомсвязи чиновники отвечают на конкретные вопросы работодателей (http://www.minsvyaz.ru/ru/personaldata/). Из некоторых ответов можно сделать противоположные выводы.

Локализация баз нужна только при первичном сборе данных. В части 5 ст. 18 Закона № 152-ФЗ говорится только о первичном сборе персональных данных. Например, работодатель при найме внес персональные данные работника в трудовой договор, личную карточку и программу 1С, которые хранятся в России. Значит, он выполнил требование Закона № 242-ФЗ. Если работодатель внесет (скопирует) данные в том же или меньшем объеме в иностранную систему (к примеру, SAP или Oracle), то закон он не нарушит (http://www.minsvyaz.ru/ru/personaldata/#1438548218895).

На заметку:

работника, который имел доступ к персональным данным коллег и разгласил их, можно уволить «по статье». В этом случае применяйте подп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Локализация баз нужна при любом сборе данных. Понятия «первичный сбор» персональных данных не существует. Такая трактовка ч. 5 ст. 18 Закона № 152-ФЗ ошибочна. В Законе № 242-ФЗ установлены требования к локализации персональных данных при любом их сборе. Поэтому хранить сведения, систематизировать их или уточнять нужно в базах данных, которые находятся на территории России. Работодатель нарушит закон, если, например, скопирует данные из системы 1С в CRM с сервером за пределами России (http://www.minsvyaz.ru/ru/personaldata/#1438172543230).

Позиция о необходимости локализации базы данных только при первичном сборе информации в большей степени отвечает интересам работодателей. Но стоит признать, что полностью обосновать ее нормами закона сложно. Так, тезис о том, что под сбором персональных данных понимается их получение непосредственно от субъекта, например от кандидата при найме, не согласуется с ч. 3 ст. 18 «Обязанности оператора при сборе персональных данных» Закона № 152-ФЗ. По этой норме данные можно получить от третьих лиц.

Роскомнадзор уже несколько месяцев проводит плановые проверки работодателей на соблюдение законодательства о локализации баз данных. В 2015 году контролеры не выявили нарушений в части локализации у организаций, которые предположительно используют иностранные базы данных. В частности, в декабре 2015 года успешно прошло проверку ООО «Дженерал Моторз Авто» (https://proverki.gov.ru). Однако показательным будет 2016 год, когда пройдут массовые проверки в крупных компаниях с иностранным участием (http://rkn.gov.ru/news/rsoc/news37043.htm).

Уведомление об обработке персональных данных

В каких случаях нужно уведомить Роскомнадзор об обработке персональных данных?

Если компания обрабатывает персональные данные не только работников и контрагентов — физических лиц. То есть фактически любая компания обязана уведомить чиновников об обработке персональных данных.

По общему правилу работодатель обязан направить в Роскомнадзор уведомление о начале обработки персональных данных (ч. 1 ст. 22 Закона № 152-ФЗ). Многие компании до сих пор этого не сделали. Они обосновывают это так: работодатель обрабатывает персональные данные только своих работников. Поэтому компания подпадает под исключение, которое установлено в п. 1 ч. 2 ст. 22 Закона № 152-ФЗ. Согласно этой норме работодатель вправе обрабатывать персональные данные в соответствии с трудовым законодательством без уведомления Роскомнадзора.

Но в большинстве случаев позиция о том, что уведомление не требуется, ошибочная. Ведь работодатель обрабатывает данные не только работников, но и других субъектов. Например, представителей контрагентов при получении доверенностей или работников других компаний, входящих в одну группу с работодателем. В таких случаях рекомендуется направить уведомление в Роскомнадзор.

По какой форме нужно уведомить Роскомнадзор?

дней — срок, в течение которого Роскомнадзор внесет сведения о компании в реестр операторов.

Уведомление можно подать в форме электронного документа, лично или через почту. В последнем случае воспользуйтесь формой из приложения № 2 к Административному регламенту (утв. приказом Минкомсвязи России от 21.12.2011 № 346 с изм. от 28.08.2015; далее — Административный регламент).

Включите в уведомление сведения о персональных данных работников (п. 7 Временных рекомендаций по заполнению формы уведомления, утв. Роскомнадзором 30.12.2014). Исключения, установленные в ч. 2 ст. 22 Закона № 152-ФЗ, в данном случае неприменимы.

Роскомнадзор внесет информацию из уведомления в реестр операторов в течение 30 дней с даты получения документа. Платить деньги за это не нужно (ч. 4, ч. 5 ст. 22 Закона № 152-ФЗ).

Статья о назначении ответственного за персональные данные поможет вам не допускать ошибок в работе.

Работодатели, которые не уведомили Роскомнадзор, рискуют получить письмо от чиновников. В ответ на него работодатели будут обязаны направить уведомление или обосновать причины его ненаправления. В последнем случае увеличивается риск проверки Роскомнадзором соответствия действительности такого рода обоснования. Так, согласно ежегодному отчету за 2014 год Роскомнадзор направил операторам более 58 тыс. таких писем (http:// rkn.gov.ru/docs/Otchet_ZPD_rus.pdf).

интересный вопрос

Как указать в уведомлении в Роскомнадзор наименование базы данных и ее местонахождение?

Укажите в уведомлении фактический адрес, где работодатель хранит базу данных. В качестве наименования отразите название информационной системы.

С 1 сентября 2015 года приказ Минкомсвязи России от 28.08.2015 № 315 внес изменения в Административный регламент. Форму уведомления об обработке персональных данных дополнили графами, куда нужно вписать:
— страну нахождения базы данных;
— адрес ее местонахождения;
— наименование информационной системы (базы данных).

Укажите эти сведения, например, так: «Система 1С, расположенная по адресу: Российская Федерация, г. Москва, индекс 100000, улица Зимняя, дом 10».

Как составить уведомление на несколько информационных систем (баз данных)?

В бумажном уведомлении об обработке персональных данных перечислите сведения о каждой базе.

В компании бывает несколько (иногда несколько десятков) информационных систем (баз данных). Например, по бухгалтерскому учету, обучению работников, их оценке и т. д. Представляется, что нужно указывать информацию по всем таким системам.

В электронной форме уведомления на сайте Роскомнадзора можно указать несколько информационных систем с подробным описанием их характеристик (http://pd.rkn.gov.ru/operators-registry/notification/form/). При этом электронная форма предполагает конкретизацию, которая не предусмотрена ни Законом № 152-ФЗ, ни Административным регламентом. Так, работодателю предлагается отразить, является ли центр обработки данных его собственностью или работодатель использует внешний центр (например, арендует его).

Если в уведомлении в качестве места нахождения базы данных будет указано иностранное государство, то, скорее всего, Роскомнадзор проверит компанию. Тогда велик риск того, что компанию привлекут к административной ответственности. Об этом 11 ноября 2015 года упомянула заместитель руководителя Роскомнадзора А. А. Приезжева на ежегодной конференции, посвященной защите персональных данных (http://zpd-forum.com/programm.html).

Те работодатели, которые отправили уведомление до 01.09.2015, по мнению Минкомсвязи, были обязаны направить в Роскомнадзор сведения о месте нахождения базы данных до 15.09.2015. Такое разъяснение приведено на официальном сайте — http://www.minsvyaz.ru/ru/personaldata/answers/#1438781125045.

Но наказать компанию за непредоставление дополнительной информации о месте нахождения баз данных контролеры не могут — истек 3-месячный срок давности для привлечения к административной ответственности. Более того, с учетом ч. 7 ст. 22 Закона № 152-ФЗ необходимость дополнительного уведомления является спорной. Ведь сведения об операторе (работодателе) и обработке данных остались прежними. Изменились требования закона.

Что делать, если данные из уведомления поменялись?

Если сведения из уведомления изменятся, то отправьте в Роскомнадзор информационное письмо. На это отводится 10 рабочих дней с даты изменений. Форма письма приведена в приложении № 3 к Административному регламенту. Ранее эти сведения работодатель предоставлял в свободной форме.

Виды нарушений при обработке персональных данных

дней — срок для уничтожения электронного резюме после приема на работу или отказа кандидату.

За что чаще всего наказывают работодателей?

Когда работодатели обрабатывают персональные данные работников, то допускают ряд нарушений. Рассмотрим основные ошибки.

Не приняты меры для сохранения персональных данных (постановление Волгоградского областного суда от 15.04.2011 № 7а-392/11). В задачи работодателя входит защита персональных данных работников (п. 7 ст. 86 ТК РФ). Часть компаний игнорирует это правило. В итоге документы теряются, к персональным данным получают доступ третьи лица.

Чтобы сохранить персональные данные, например, на бумажных носителях, используйте Положение, утвержденное постановлением Правительства РФ от 15.09.2008 № 687. Для этого:
— определите места хранения личных дел, трудовых книжек, архива. В этих целях используйте локальный акт;
— установите перечень лиц, которые будут обрабатывать персональные данные. В локальном акте укажите должности, например, начальник отдела кадров, бухгалтер по расчету зарплаты. А в приказе — конкретные ФИО работников;
— зафиксируйте меры для сохранности персональных данных. Пропишите, что работники с доступом к персональным данным обязаны использовать ключи для запирания шкафов с такими данными и не передавать их посторонним.

Нет согласия работника на обработку персональных данных. Нередко работодатели обрабатывают информацию о работнике без его письменного согласия. Еще одно нарушение — согласие получено, но его содержание не соответствует требованиям Закона № 152-ФЗ.

В рамках трудовых отношений обрабатывать данные работников можно без согласия. Например, оно не требуется для заполнения и хранения трудового договора или личной карточки. Это следует из п. 2 ч. 1 ст. 6 Закона № 152-ФЗ, п. 1 ст. 86 ТК РФ, абз. 1 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных…» (далее — Разъяснения).

Но есть исключения. Например, ситуация с анкетами кандидатов. Работодатели часто предлагают соискателям заполнить опросники, анкеты. Чтобы получить согласие соискателя на обработку персональных данных, предусмотрите в электронной форме специальное поле. На это указал Роскомнадзор в абз. 17 п. 5 Разъяснений.

Согласие работника требуется и если работодатель передает расчет зарплаты на аутсорсинг (абз. 2 ст. 88 ТК РФ). В данном случае доступ к персональным данным получает третья сторона. Перед тем, как работник подпишет согласие, проконтролируйте, есть ли в нем обязательный реквизит — название и адрес привлеченной организации, которая будет рассчитывать заработную плату. Она станет лицом, которое будет осуществлять обработку персональных данных по поручению оператора-работодателя.

рабочих дней — в такой срок нужно направить в Роскомнадзор письмо об изменении сведений об операторе.

Персональные данные обрабатываются после того, как достигнута цель. Работодатели часто забывают, что у них хранятся персональные данные, которые стали ненужными. Например, резюме кандидатов, которые поступили по электронной почте. Их нужно уничтожить не позднее 30 дней с момента принятия решения о приеме либо отказе в найме (ч. 4 ст. 21 Закона № 152-ФЗ). Оставить электронные документы нельзя, поскольку в законе для них нет сроков хранения. Для большинства бумажных носителей (трудовые договоры, приказы, личные карточки и т. д.) установлены длительные сроки хранения (ст. ст. 19, 657, 658 Перечня, утв. приказом Минкультуры России от 25.08.2010 № 558).

С 01.09.2015 у Роскомнадзора больше свободы при проверках. На них не распространяется Федеральный закон от 26.12.2008 № 294-ФЗ. Но это не абсолютная свобода. Правила проведения проверок установлены в Административном регламенте (утв. приказом Минкомсвязи России от 14.11.2011 № 312). Он во многом базируется на положениях Закона № 294-ФЗ и процессуальные гарантии продолжают действовать. Правительство РФ разрабатывает новый порядок проведения проверок. Но пока он не принят.

Актуальные требования к политике обработки персональных данных и образец заполнения документа

Сам закон напрямую не регламентирует форму, содержание и даже название документа, который мы для удобства именуем Политикой. В ч. 2 ст. 18 сказано только, что документ должен быть общедоступен и разъяснять любому желающему политику оператора в отношении персональных данных, исполнение им всех требований закона по работе с этой информацией и ее защите.

В июле 2017 года, после внесения в закон очередных правок, разъяснение по составлению Политики (https://www.rkn.gov.ru/personal-data/p908/) опубликовал Роскомнадзор.

Ведомство рекомендует включить в локальный акт следующие разделы:

  • общие положения;
  • цели;
  • правовые основания;
  • категории субъектов, группы и объем данных;
  • порядок и условия обработки, сроки хранения;
  • условия внесения изменений и уничтожения данных,
  • меры безопасности;
  • права субъектов на доступ к своей информации.

Роскомнадзор также рекомендует включить в Политику, в качестве приложений или иным способом, внутренние документы, регламентирующие процедуры работы с личной информацией, ограничение доступа, реагирование компании на запросы субъектов и уполномоченных органов и прочие. В качестве приложений могут быть изданы шаблонные формы согласия, отзыва согласия, запроса данных или заявления на внесение изменений.

Важно! Регулятор не устанавливает единую форму Политики. В документе должна быть изложена соответствующая информация, но структура, названия разделов их распределение и очередность могут отличаться у различных операторов.

Пошаговая инструкция по написанию разделов

  1. «Шапка» – сверху первой страницы в правом верхнем углу стандартный блок для подписи первого руководителя. Например: «Утверждаю, генеральный директор ООО «ИКС» Иванов И.И., дата, подпись, место для печати». Или подобная форма, принятая в делопроизводстве компании.
  2. Общие положения – раздел включает в себя полное наименование предприятия – оператора, юридический адрес, ИНН, ключевые правовые основы, согласно которым разработан документ, общую характеристику прав и обязанностей оператора и субъектов.

    Например: «Политика обработки персональных данных ООО «ИКС» (далее – Оператор) разработана во исполнение Конституции РФ и действующего федерального законодательства в области защиты персональных данных (можно перечислить подробнее, а можно оставить перечень для соответствующего раздела), с целью соблюдения законодательства, прав субъектов персональных данных при обработке, сохранения конфиденциальности и обеспечения безопасности данных.

    Настоящая политика характеризирует принципы и цели оператора в сфере обработки персональных данных, способы обработки, категории данных, меры, предпринимаемые оператором по обеспечению безопасности, права Оператора и субъектов персональных данных…».

  3. Цели обработки – Роскомнадзор предписывает формулировать их максимально конкретно, исходя из законодательства и производственных потребностей оператора. В частности, целью может быть выполнение трудового и налогового законодательства, ведение бухгалтерского, налогового учета. Предоставление статистической отчетности, выполнение договорных обязательств, и осуществление видов деятельности, согласно Уставу, и прочие в рамках законодательства.
  4. Правовое основание – раздел представляет собой список федеральных законов и других нормативных актов, связанных с деятельностью Оператора в сфере работы с личной информацией, Устав предприятия, договоры между оператором и субъектами.

    Зачастую список включает в себя Конституцию РФ, Федеральный закон «Об информации, информационных технологиях и о защите информации», Трудовой и Налоговый кодексы, далее следуют соответствующие постановления правительства об обработке данных неавтоматизированным способом или в информационных системах, приказы Роскомнадзора, Федеральной службы по техническому и экспортному контролю, и другие.

  5. Перечень действий – сбор, систематизация, хранение, уточнение, извлечение, использование, передача (трансграничная или нет), обезличивание, блокирование, уничтожение и прочие манипуляции с предоставленной субъектами информацией.

    Также рекомендуется указать сроки и условия прекращения обработки. Например, обработка информации может быть прекращена по достижению целей, после завершения действия договора, обращения субъекта с отзывом согласия на обработку.

  6. Состав – подробно перечислите, данные каких категорий субъектов необходимо обрабатывать в указанных целях: работников и их родных, бывших сотрудников и кандидатов на вакантные должности, клиентов, контрагентов. Какая именно информация (ФИО, паспортные реквизиты, возраст, образование и так далее) необходима.

    Отдельно укажите, если требуется обработка так называемых специальных категорий данных – сведений о расе, национальности, политической и религиозной принадлежности, состоянии здоровья.

  7. Обработка – укажите способы обработки информации, например, автоматизированная, неавтоматизированная, смешанная.
  8. Обеспечение защиты – содержание раздела строится на выполнении ст. 18 и 19 закона «О персональных данных».

    Оператор сообщает, что на предприятии назначено должностное лицо, ответственное за обработку этой информации, сотрудники ознакомлены с соответствующими регламентами, изданы локальные акты, регламентирующие все действия в данной сфере, доступ к информации, разработаны и применяются юридические, организационные и технические меры по обеспечению безопасности материальных носителей и электронных баз.

    Также раздел Политики гарантирует, что на предприятии ведется внутренний аудит в данной сфере, оценен потенциальный вред для субъекта, разработаны процедуры выявления нарушений действующего законодательства и их предотвращения.

  9. Права субъекта – раздел фактически подтверждает готовность оператора исполнять главу 3 статьи 14-17 закона «О персональных данных». В частности, Политика информирует субъектов об их праве предоставлять персональные данные только добровольно и отозвать разрешение на обработку в любой момент, праве на доступ к своей информации и требование ее изменения или удаления недостоверных сведений.

    Субъект имеет право знать о целях, правовых основаниях и способах обработки данных, факте трансграничной передаче или передаче третьим лицам, если таковая производится. Защита прав субъекта и обжалование действий оператора производится в судебном порядке.

Подробнее о политике обработки персональных данных читайте .

Разъяснение Роскомнадзора прямо запрещает указывать закон «О персональных данных» в качестве правового основания!

Санкции за нарушение требований к документу

Требования о разработке и утверждении Политики в сфере обработки персональных данных и обеспечения публичного доступа к документу содержались и в первой редакции профильного закона от 2006 года. Но до 2017 года в законодательстве отсутствовали санкции за нарушение данной нормы.

Изменения в Кодекс об административных правонарушениях, в частности, в ч.3 ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных», устранили этот пробел, и теперь отсутствие документа в неограниченном публичном доступе повлечет за собой штраф до 30 тысяч рублей для компании и до 6 000 рублей для должностных лиц.

  • О Роскомнадзоре
    • Положение о Роскомнадзоре
    • Полномочия Роскомнадзора
    • Руководство
      • Руководитель Роскомнадзора Александр Александрович Жаров
      • Заместитель руководителя Роскомнадзора Александр Александрович Панков
      • Заместитель руководителя Роскомнадзора Антонина Аркадьевна Приезжева
      • Заместитель руководителя Роскомнадзора Вадим Алексеевич Субботин
      • Заместитель руководителя Роскомнадзора Александр Львович Чечин
    • Структура
      • Положения об Управлениях Роскомнадзора
    • Территориальные органы
    • Коллегия
      • Состав Коллегии
      • Положение о Коллегии
      • Регламент Коллегии
      • Годовое расширенное заседание коллегии Роскомнадзора 28 апреля 2014 г.
      • Расширенное совещание Роскомнадзора 23 декабря 2013 года
      • Расширенное заседание коллегии Роскомнадзора 14 мая 2013 года
      • Расширенное заседание коллегии Роскомнадзора 21 декабря 2012 года
      • Расширенное заседание коллегии Роскомнадзора 15 май 2012 года
      • Расширенное заседание коллегии Роскомнадзора 14 декабря 2011 года
        • Протокол заседания
      • Заседание Коллегии Роскомнадзора 15 ноября 2011 года
      • Заседание Коллегии Роскомнадзора 12 мая 2011 года
        • Тезисы доклада Заместителя руководителя Роскомнадзора А.И. Катулевского на расширенном заседании Коллегии Роскомнадзора на тему: «О задачах Роскомнадзора по организации работы в сфере связи на 2011 год и среднесрочную перспективу». ( Москва, 12 мая 2011 года)
        • Протокол заседания Коллегии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Расширенное совещание Роскомнадзора 16 декабря 2010 года
      • Заседание Коллегии Роскомнадзора 30 марта 2010 года
      • Заседание Коллегии Роскомнадзора 15 декабря 2009 года
      • Заседание коллегии Роскомнадзора 20.04.2015
      • Расширенное совещание Роскомнадзора 21 декабря 2015 года
      • Расширенное заседание коллегии Роскомнадзора 19 апреля 2016 года
      • Итоговое совещание с руководителями территориальных органов Роскомнадзора за 2016
      • Расширенное заседание коллегии Роскомнадзора 19 апреля 2017 года
      • Расширенное совещание Роскомнадзора 11 декабря 2017 года
      • Итоговое заседание коллегии Роскомнадзора 20 февраля 2018 года
    • Координационные и совещательные органы
      • Экспертный совет по массовым коммуникациям при Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Консультативный совет при уполномоченном органе по защите прав субъектов персональных данных
        • Сообщения о заседаниях Консультативного совета
        • Планы работы Консультативного совета
        • Правовые основания деятельности Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных
        • Молодежная палата Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных
      • Научно-технический совет Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
        • Приказ от 04.10.2011 № 878 «О создании Научно-технического совета Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»
        • Протокол заседания Научно-технического совета Роскомнадзора от 27.10.2011
      • О положениях Федерального закона от 02 июля 2013 г. N 187-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях»
    • Смежные по компетенции органы госвласти
    • Информация для заявителей
      • Единый портал государственных услуг: оказание услуг в электронном виде
      • График выдачи лицензий, иных разрешительных документов, консультирования по вопросам оформления документов
    • Реквизиты
    • Международное сотрудничество
    • Эмблема и флаг
    • Историческая справка
    • Мероприятия при чрезвычайных ситуациях
    • Информация о проверках, проведенных в Роскомнадзоре
    • Открытая Служба
      • Бюджет для граждан
      • Референтные группы Роскомнадзора
      • Опрос об удовлетворенности качеством поиска и получения требуемой информации посредством сайта Роскомнадзора
      • Рейтинг публикации органами государственной власти информации в формате открытых данных
      • План по реализации Концепции открытости
        • Архив
      • Планы и отчеты по расходованию средств на информационное сопровождение деятельности Роскомнадзора
      • Публичная декларация целей и задач Роскомнадзора
    • Общественный совет
      • Положение, регламент, кодекс этики
      • Состав Общественного совета при Роскомнадзоре
      • Протоколы заседаний
        • за 2017 год
        • за 2018 год
      • План работы
      • Объявлен конкурс в общественный совет при Роскомнадзоре
    • Обеспечение доступности объектов для инвалидов
  • Новости
    • Новости Роскомнадзора
    • Региональные новости
    • Подписка на новости
  • Пресс-служба
    • О пресс-службе (контакты)
    • Публикации
    • Интервью
    • ТВ и радио
    • Онлайн-конференции
    • Еженедельная статистика
    • События
      • Фото
        • Фотоархив
      • Видео
      • Инфографика
      • Календарь событий
    • Публичные доклады
    • Выходные данные
  • Государственная служба
    • Нормативные документы
      • Ведомственные нормативные правовые акты Роскомнадзора по вопросам государственной гражданской службы
    • Порядок поступления на государственную службу
    • Объявления о конкурсе
    • Результаты конкурсов
    • Порядок обжалования результатов конкурса на замещение вакантных должностей
    • Порядок работы комиссии Роскомнадзора по соблюдению требований к служебному поведению государственных служащих и урегулированию конфликта интересов
    • Информация о доходах государственных гражданских служащих за 2015 год
    • Информация о доходах государственных гражданских служащих за 2014 год
      • Центральный аппарат
      • Руководители ТУ
      • Заместители ТУ
      • ФГУПы
    • Информация о доходах государственных гражданских служащих за 2013 год
      • Уточненные сведения о доходах государственных служащих за 2013 год
    • Информация о доходах государственных гражданских служащих за 2011 год
      • Центральный аппарат
      • Руководители территориальных органов
      • Заместители руководителей территориальных органов
    • Информация о доходах государственных гражданских служащих за 2012 год
    • Информация о доходах государственных гражданских служащих за 2010 год
      • Центральный аппарат
      • Руководители территориальных органов
      • Заместители руководителей территориальных органов
    • Информация о доходах государственных гражданских служащих за 2009 год
    • Квалификационные требования
    • Порядок обращения граждан об участии в конкурсе на замещение вакантной должности государственной гражданской службы
    • Порядок проведения конкурса на замещение вакантных должностей государственной гражданской службы
    • Перечень вакантных должностей
    • Кадровый резерв
    • Сведения о планах проведения обучения, подготовки, профессиональной переподготовки, повышения квалификации и стажировки государственных гражданских служащих
  • Планирование, отчеты о деятельности
    • Планы проверок
    • План и показатели деятельности
      • Прогноз социально-экономического развития Российской Федерации
    • Отчеты о деятельности
      • Результаты деятельности Роскомнадзора
      • Отчет об исполнении федерального бюджета
      • Результаты проверок
      • Мониторинг качества финансового менеджмента территориальных органов Роскомнадзора
      • Рассмотрение жалоб на предоставление государственных услуг
      • Отчёты о реализации федеральных целевых программ
      • Планы мероприятий («дорожные карты») по развитию конкуренции
    • Публичные доклады
    • План информатизации Роскомнадзора
    • Учетная политика Роскомнадзора
  • Конкурсы и тендеры
    • Федеральная конкурсная комиссия по телерадиовещанию
      • Федеральная конкурсная комиссия по телерадиовещанию
      • О Федеральной конкурсной комиссии по телерадиовещанию
      • Конкурсы на получение права осуществлять наземное эфирное вещание с использованием конкретных радиочастот
      • О проведении процедуры выбора обязательных общедоступных телеканалов субъектов Российской Федерации
    • Конкурсы на право получения лицензий в области оказания услуг связи
      • Принято решение о проведении открытых торгов в форме аукциона на право получения лицензий на оказание услуг подвижной радиотелефонной связи, услуг передачи данных и на оказание телематических услуг связи с использованием радиоэлектронных средств сетей связи стандарта LTE и последующих его модификаций в полосах радиочастот 453-457,4 МГц и 463-467,4 МГц
      • Аукцион № 2/2015 на право получения лицензий на оказание услуг подвижной радиотелефонной связи, услуг передачи данных и на оказание телематических услуг связи с использованием радиоэлектронных средств сетей связи стандарта LTE и последующих его модификаций в полосах радиочастот 2570-2595 МГц, 2595-2620 МГц
      • Аукцион на право получения лицензии на осуществление деятельности в области оказания услуг связи с использованием радиочастотного спектра в полосах радиочастот 1710-1785 МГц и 1805-1880 МГц
      • Конкурс на право получения лицензий на оказание на территории Российской Федерации услуг связи с использованием РЭС в сетях связи стандарта LTE и последующих его модификаций в полосе радиочастот 791-862 МГц
      • Конкурсы на право оказания услуг фиксированного беспроводного широкополосного доступа в диапазоне 3400-3450 МГц и 3500-3550 МГц
        • Конкурсы на право оказания услуг фиксированного беспроводного широкополосного доступа в диапазоне 3400-3450 МГц и 3500-3550 МГц
      • Конкурсы на право оказания услуг связи стандарта GSM
        • Распоряжение от 25.11.2010 № 039 о создании рабочей группы для подготовки условий конкурсов на право оказания услуг связи стандарта GSM
      • Конкурсы на право оказания услуг связи в сетях мобильного беспроводного доступа в диапазоне 2300-2400 МГц. (февраль-март 2010 г.)
      • Конкурсы на право оказания услуг связи стандарта GSM (октябрь-ноябрь 2007 г.)
    • Конкурсы по закупкам для государственных нужд
      • Информация о ходе размещения заказов Роскомнадзора в 2010 году на 2010 год
      • Статистическая информация
    • Результаты конкурса на замещение должности генерального директора Федерального государственного унитарного предприятия «Главный радиочастотный центр»
    • Перечень заключённых договоров
    • Конкурс на замещение должности генерального директора федерального государственного унитарного предприятия «Радиочастотный центр Центрального федерального округа»
    • Комиссия по отбору уполномоченной организации по исследованию объема зрительской аудитории телеканалов (телепрограмм, телепередач)
      • О проведении отбора уполномоченной организации по исследованию объема зрительской аудитории телеканалов (телепрограмм, телепередач)
  • Правовая информация
    • Положение о Роскомнадзоре
    • Административные регламенты
    • Федеральные законы
    • Подзаконные и ведомственные нормативные акты
      • Организация деятельности
        • Указы Президента Российской Федерации
        • Акты Правительства Российской Федерации
        • Акты Министерства связи и массовых коммуникаций Российской Федерации
        • Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Связь
        • Акты Правительства Российской Федерации
        • Акты Министерства связи и массовых коммуникаций Российской Федерации и иных органов исполнительной власти
        • Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Информационные технологии
        • Акты Правительства Российской Федерации
        • Акты Министерства связи и массовых коммуникаций Российской Федерации и иных органов исполнительной власти
        • Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Массовые коммуникации
        • Акты Президента Российской Федерации
        • Акты Правительства Российской Федерации
        • Акты Министерства цифрового развития, связи и массовых коммуникаций и иных органов исполнительной власти
        • Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
      • Защита прав субъектов персональных данных
        • Акты Президента Российской Федерации
        • Акты Правительства Российской Федерации
        • Акты иных органов исполнительной власти
        • Акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
    • Проекты нормативных правовых актов
      • Проекты регламентов
      • Проекты нормативных правовых актов Роскомнадзора
      • Законопроекты
    • Порядок обжалования нормативных правовых актов и иных решений, принятых Роскомнадзором или его территориальными органами
    • Судебная практика
      • Судебная практика за 2017 год
      • Судебная практика за 2016 год
      • Судебная практика за 2015 год
      • Судебная практика за 2014 год
      • Судебная практика за 2013 год
      • Судебная практика за 2012 год
      • Обзор судебной практики
      • Судебная практика за 2018 год
      • Судебная практика за 2019 год
    • Соглашения о взаимодействии
    • Мониторинг законодательства
      • за 2013 год
      • за 2014 год
      • за 2015 год
      • за 2016 год
      • за 2017 год
      • за 2018 год
      • за 2019 год
    • Положение об обработке персональных данных
    • Информационные сообщения
  • Профилактика нарушений обязательных требований
    • Перечень в сфере связи
      • Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
      • Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей в сфере связи
      • Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей в сфере законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма
    • Перечень в сфере СМИ
      • Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
      • Перечень актов, содержащих обязательные требования, соблюдение которых оценивается при проведении мероприятий по контролю при осуществлении контроля (надзора) за соблюдением законодательства Российской Федерации о средствах массовой информации
      • Перечень актов, содержащих обязательные требования, соблюдение которых оценивается при проведении мероприятий по контролю при осуществлении государственного контроля и надзора за соблюдением законодательства в сфере телевизионного вещания и радиовещания
    • Перечень в сфере защиты прав субъектов персональных данных
      • Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
      • Перечень нормативных правовых актов, устанавливающих обязательные требования к осуществлению деятельности юридических лиц и индивидуальных предпринимателей за соответствием обработки персональных данных требованием законодательства Российской Федерации в области персональных данных
    • Перечень в сфере информационных технологий
      • Перечень правовых актов, содержащих обязательные требования, в сфере информационных технологий
      • Перечень нормативных правовых актов, непосредственно регулирующих проведение проверок
    • Профилактика в сфере связи
    • Анализ правоприменительной практики
    • Перечень обязательных требований
  • Противодействие коррупции
    • Сообщения на антикоррупционную тематику
      • Сотрудники Роскомнадзора прошли обучение в Высшей школе управления РАГС при Президенте РФ по программе профилактики коррупционных и иных правонарушений
      • 9 декабря — Международный день борьбы с коррупцией
    • Антикоррупционная экспертиза
    • Методические материалы
      • Методические рекомендации
        • Методические рекомендации по разработке и принятию организациями мер по предупреждению и противодействию коррупции
      • Архив
    • Нормативные правовые и иные акты в сфере противодействия коррупции
      • Федеральные законы, указы Президента Российской Федерации, постановления Правительства Российской Федерации, международные правовые акты
      • Ведомственные нормативные правовые акты Роскомнадзора в сфере противодействия коррупции
    • Формы документов, связанных с противодействием коррупции, для заполнения
      • Архив
    • Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера
      • Информация о доходах государственных гражданских служащих за 2017 год
      • Информация о доходах государственных гражданских служащих за 2016 год
      • Информация о доходах государственных гражданских служащих за 2015 год
      • Информация о доходах государственных гражданских служащих за 2014 год
      • Информация о доходах государственных гражданских служащих за 2013 год
      • Информация о доходах государственных гражданских служащих за 2012 год
      • Информация о доходах государственных гражданских служащих за 2011 год
      • Информация о доходах государственных гражданских служащих за 2011 год
      • Информация о доходах государственных гражданских служащих за 2010 год
      • Информация о доходах государственных гражданских служащих за 2009 год
      • Информация о доходах государственных гражданских служащих за 2018 год
    • Комиссия по соблюдению требований к служебному поведению и урегулированию конфликта интересов
      • Сведения о планируемом проведении заседания комиссии
      • Заседания комиссии по соблюдению требований к служебному поведению и урегулированию конфликта интересов, и о принятых комиссией решениях
    • Доклады, отчеты, обзоры, статистическая информация
      • Как Вы оцениваете работу, проводимую отделом государственной службы и кадров Управления организационной работы Роскомнадзора, на который возложена ответственность за работу по профилактике коррупционных и иных правонарушений в центральном аппарате Роскомнадзора, в 2013 году?
      • Как Вы оцениваете работу, проводимую отделом государственной службы и кадров Управления организационной работы Роскомнадзора, на который возложена ответственность за работу по профилактике коррупционных и иных правонарушений в центральном аппарате Роскомнадзора, в 2014 году?
      • Как Вы оцениваете работу, проводимую отделом государственной службы и кадров Управления организационной работы Роскомнадзора, на который возложена ответственность за работу по профилактике коррупционных и иных правонарушений в центральном аппарате Роскомнадзора, в 2015 году?
      • Как Вы оцениваете работу, проводимую отделом государственной службы и кадров Управления организационной работы Роскомнадзора, на который возложена ответственность за работу по профилактике коррупционных и иных правонарушений в центральном аппарате Роскомнадзора, в 2016 году?
      • Как Вы оцениваете работу, проводимую отделом государственной службы и кадров Управления организационной работы Роскомнадзора, на который возложена ответственность за работу по профилактике коррупционных и иных правонарушений в центральном аппарате Роскомнадзора, в 2017 году?
      • Как Вы оцениваете работу, проводимую подразделением по противодействию коррупции Роскомнадзора в 2018 году?
      • Как Вы оцениваете работу, проводимую подразделением по противодействию коррупции Роскомнадзора в 2019 году?
    • Обратная связь для сообщений о фактах коррупции
  • Обращения граждан и юридических лиц
    • Общественная электронная приемная Роскомнадзора
    • Обзор обращений граждан
    • Часто задаваемые вопросы
      • Контроль и надзор в сфере массовых коммуникаций
      • Защита прав субъектов персональных данных
      • Контроль и надзор в сфере связи
        • Порядок подачи жалобы на оказание услуги связи
        • Подключение платных контентных (дополнительных) услуг
        • Скорость доступа к сети Интернет
        • Установка РЭС на жилых зданиях
        • Установка усилителей сигналов сотовой связи
        • Влияние РЭС на здоровье людей
        • Услуги почтовой связи
      • Надзор в сфере информационных технологий
      • Блокировка интернет-страниц
    • Оцените нашу работу
    • Статус обращения
    • 12 декабря 2019 года — Общероссийский день приема граждан
  • Сведения о приеме граждан
  • Подведомственные предприятия
    • Отчеты руководителей федеральных государственных унитарных предприятий
    • Сообщения о реорганизации предприятий РЧС
    • Информация о среднемесячной заработной плате руководителей, их заместителей и главных бухгалтеров
  • График выдачи лицензий, иных разрешительных документов, консультирования по вопросам оформления документов
  • Открытые данные
    • Cтатистическая информация
    • Другие сведения
    • Опрос общественного мнения
  • Контакты

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1. Уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Изменения в уведомление об обработке персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22. Уведомление об обработке персональных данных.

ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения.

ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

3. Приказ Об организации обработки персональных данных.
4. Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

5. Согласие субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

6. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных.

ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

7 Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18. Обязанности оператора при сборе персональных данных.

ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

8. Документы, определяющие политику оператора в отношении обработки персональных данных.

Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

9. Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

10. Документы по организации приема и обработке обращений и запросов субъектов персональных данных.

Основание:

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях.

ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

11. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

12. Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации.

Основание:

Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

13. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Основание:

Приказ ФСТЭК от 18 февраля 2013 года № 21.

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

14. Документы о классификации информационных систем.

Основание:

Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.

15. Типовые формы документов.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.

16. Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.

17. Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные.

Основание:

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

18. Документы, по обеспечению безопасности персональных данных с использованием СКЗИ.

Основание:

Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

19. Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20. Документы, устанавливающие порядок обработки персональных данных работников.

Основание:

ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты:

п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Статья 87. Хранение и использование персональных данных работников;

Статья 88. Передача персональных данных работников.

21. Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

ВАЖНО! Для справки рекомендуется ознакомиться с документом:

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

п/п

Наименование документа № документа, дата
1. Акт классификации и определения уровня защищенности ИСПДн «Бухгалтерия».
2. Акт определения уровня защищенности ИСПДн «________».
3. Акт определения уровня защищенности ИСПДн «……».
4. Акт о выделении к уничтожению документов, неподлежащих хранению.
5. Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6. Акты уничтожения персональных данных.
7. Описание информационной системы персональных данных «Сотрудники».
8. Описание информационной системы персональных данных «Клиенты».
9. Описание информационной системы персональных данных «…..».
10. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».
11. Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».
12. Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».
13. Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14. Инструкция пользователя информационной системы персональных данных.
15. Инструкция об организации антивирусной защиты.
16. Инструкция администратора безопасности информационной системы персональных данных.
17. Инструкция администратора информационной системы персональных данных.
18. Инструкция пользователя при обработке персональных данных без средств автоматизации.
19. Инструкция по эксплуатации машинных носителей информации.
20. План внутренних проверок режима защиты персональных данных.
21. Политика обработки Персональных данных образец
22. Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23. Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….».
24. Положение об обеспечении безопасности персональных данных.
25. Положение об обработке персональных данных в ООО «….».
26. Положение об ответственном за обработку персональных данных в ООО «….».
27. Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
28. Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.
29. Приказ о начале обработке персональных данных.
30. Приказ об ответственных и комиссии по информационной безопасности.
31. Приказ о назначении сотрудников, имеющих доступ в персональным данным.

— список сотрудников.

32. Приказ утверждающий перечень мест хранения материальных носителей персональных данных.

— перечень мест хранения ИСПДн.

33. Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34. Приказ о контролируемой зоне:

— Схема границ.

— Список лиц, имеющих право вскрывать помещение.

— Список лиц, имеющих находиться в помещение.

35. Перечень персональных данных.
36. Перечень информационных систем персональных данных.
37. Согласие сотрудника на обработку его персональных данных.
38. Согласие клиента на обработку его персональных данных.
39. Согласие …. на обработку его персональных данных.
40. Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41. Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42. Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43. Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44. Журнал учета и выдачи машинных носителей персональных данных.
45. Журнал учета проверок, проводимых органами государственного контроля (надзора).
46. Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47. Журнал регистрации входящих конфиденциальных документов.
48. Журнал регистрации исходящих конфиденциальных документов
49. Журнал регистрации и выдачи печатей опечатывающих устройств.
50. Журнал инвентарного учета документов ограниченного распространения.
51. Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52. Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53. Журнал учета хранилищ (сейфов).
54. Журнал учета ключевой информации.
55. Журнал учета движения материальных носителей персональных данных.
56. Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57. Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Защита персональных данных

В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных).

Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. В 2019 году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. При этом, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тысяч рублей также выросло и количество возможных нарушений в этой области. Настоящая статья поможет небольшим операторам правильно выстроить систему защиты персональных данных

***

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон «О персональных данных» N 152-ФЗ.

Фактически, обязательные требования содержатся не только в Законе «О персональных данных», но и в некоторых подзаконных актах. В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

  1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).
  2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).
  3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14.02.2008)
  4. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 15.02.2008)
  5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

Требования к обеспечению безопасности при обработке персональных данных, установленные перечисленными актами, достаточно обширны, некоторые довольно сложны в техническом и организационном плане.

Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа. Более того, как раньше, так и после вступления в силу поправок в КоАП РФ, увеличивших штрафы и введших новые правонарушения, надзорный орган неоднократно привлекал к ответственности нарушителей законодательства в области персональных данных.

Требования законодательства в области персональных данных довольно обширны, сложны и неоднозначны, поэтому, в первую очередь, хочется узнать, за что установлена ответственность.

Ответ на данный вопрос даёт ст. 13.11. Кодекса Российской Федерации об административных правонарушениях:

Часть 1 статьи 13.11:

«Обработка персональных данных в случаях, не преду-смотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных…», — штраф от 30 до 50 т.р. На что обратить внимание:

Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

  1. Есть согласие субъекта (НЕ ОБЯЗАТЕЛЬНО ПИСЬМЕННОЕ, т.е. «галочка» на сайте, вопрос по телефону – подойдут).
  2. Вы заключили или собираетесь заключить договор с субъектом (даже если это оферта на веб-сайте и для заключения не нужна подпись). В таком случае даже согласия не нужно.
  3. Вы обрабатываете персональные данные своих работников (из трудовых отношений). Здесь согласие также не нужно.
  4. В иных специфических случаях, они указаны в Законе о персональ-ных данных и достаточно редки (ст. 6, ч. 1; к примеру: для защиты жизни, здоровья или иных жизненно важных интересов субъекта).

Штраф накладывают, если вы не смогли доказать, на каком основании вы обрабатываете конкретные персональные данные конкретного субъекта. Рекомендации: при сборе персональных данных на сайте необходимо перед отправкой субъектом своих данных предусмотреть, чтобы он обязательно поставил «галочку» под текстом вроде «Согласен на обработку моих персональных данных». Если данные обрабатываются в целях заключения договора и согласия нет – не обрабатывать нехарактерные для договора персональные данные (к примеру, по договору купли-продажи не стоит обрабатывать данные об образовании, профессии и воинской обязанности лица).

Часть 2 статьи 13.11:

«Обработка персональных данных без согласия в пись-менной форме, … когда такое согласие должно быть получено … либо обработка персональных данных с нарушением … требований к составу сведений, включаемых в согласие в письменной форме …», — штраф от 15 до 75 т.р. На что обратить внимание:

Чтобы не получить штраф по данной статье необходимо придерживаться нескольких простых правил:

  1. Нельзя публиковать или иным образом вносить в общедоступные источники персональные данные субъекта без его письменного согласия (для такого согласия предусмотрена особая форма).
  2. Нельзя обрабатывать биометрические персональные данные или дан-ные, относящиеся к категории специальных, (медицинские данные, вероисповедание, философские взгляды) без письменного согласия.
  3. Нельзя передавать персональные данные на территорию иностранных государств, которые не обеспечивают адекватную защиту прав
    субъектов (трансграничная передача) без письменного согласия лица.

Часть 3 статьи 13.11:

«Невыполнение оператором предусмотренной законода-тельством Российской Федерации в области персональных данных обязанности по опуб-ликованию или обеспечению иным образом неограниченного доступа к документу, опреде-ляющему политику оператора в отношении обработки персональных данных, или сведе-ниям о реализуемых требованиях к защите персональных данных», — штраф от 15 до 30 т.р. На что обратить внимание:

Необходимо разместить на сайте Политику обработки персональных

Часть 4 статьи 13.11:

«Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных», — штраф от 20 до 40 т.р. На что обратить внимание:

Административная ответственность наступает лишь в случае непредставления оператором информации по запросу субъекта персональных данных, оформленному в соответствии с указанными в законе требованиями. В данном случае комментарии излишни – учитывая, что запрос от субъектов персональных данных большая редкость – легче один раз ответить на письмо субъекта, чем заплатить 20-40 т.р.

Часть 5 статьи 13.11:

«Невыполнение оператором в сроки … требования субъекта персональных данных или его представителя либо уполномоченного органа … об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки», — штраф от 25 до 45 т.р. На что обратить внимание:

Состав аналогичен части 4 ст. 13.11, т.е. сначала должно поступить требование субъекта / его представителя / Роскомнадзора, и если вы не исполните такое требование в срок – то только потом наступает ответственность. Опять же – легче не разбираться в ситуации, удалить недостоверные данные, уведомить об этом в письменном виде субъекта персональных данных, а не выплачивать штраф.

Часть 6 статьи 13.11:

«Невыполнение оператором … обязанности по соблюдению условий, обеспечивающих … сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния», — штраф от 25 до 50 т.р. На что обратить внимание:

Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру – злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников. Учитывая, что такая ситуация крайне редка для компаний среднего размера, а также то, что не всегда такие вещи может обнаружить Роскомнадзор – поводов для беспокойства мало.

На этом вся ответственность заканчивается. Более того, проверки проводит именно Роскомнадзор, как уполномоченный законом орган, а проверить технические моменты могут только ФСТЭК и ФСБ, которые по факту проверок не проводят (за очень редким исключением). Вся информация о плановых проверках содержится на сайте Роскомнадзора , включая организации, которые будут проверять в определённом году. Также за 3 дня Роскомнадзор дополнительно уведомляет о предстоящей проверке. Внеплановые же проводятся только при наличии достаточных оснований и при наличии жалобы конкретного лица (это может быть бывший работник, конкурент, просто клиент, который знает о своих правах). В таком случае Роскомнадзор уведомляет организацию за 24 часа до проверки. Исходя из этого – вероятность проверки крайне мала, а если она и есть – о проверке можно узнать заблаговременно.

Таким образом – ещё раз отмечу, что всё-таки нужно обеспечить для отсутствия претензий со стороны Роскомнадзора:

  1. Должна быть опубликована Политика в отношении обработки персональных данных, а если сбор персональных данных осуществляется с помощью сайта – то Политика должна быть опубликована именно на этом сайте (прямое требование ст. 18 Закона о персональных данных).
  2. Также под формой сбора персональных данных на сайте должно быть уведомление или «галочка» о том, что субъект согласен на обработку его персональных данных. В том случае, если ввод персональных данных субъектом подразумевает собой заключение договора (оферта) – то такой договор должен быть опубликован на сайте, согласие в этом случае не требуется. Договор предпочтительнее согласия.
  3. Не стоит обрабатывать специальные категории персональных данных, биометрические персональные данные и передавать персональные данные клиентов и работников заграницу.
  4. Всегда стоит отвечать на запросы и требования субъектов персональных данных (об уточнении, удалении, блокировании их данных). Это легче, чем оплатить штраф.
  5. Также стоит подготовить минимально необходимые внутренние документы организации, которые необходимы исходя из требований законодательства и которые может затребовать Роскомнадзор как в рамках проверки, так и в рамках систематического наблюдения (мониторинга).

Стоит отметить, что перечисленные условия – это лишь необходимый минимум и в каждом конкретном случае оператору может потребоваться большая степень обеспечения безопасности обработки персональных данных.

Наконец, следует упомянуть о том, почему оферта лучше, чем согласие и что делать с уведомлением Роскомнадзора о начале обработки персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, повысит требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), а также риск попасть под плановую проверку. В ч. 2 ст. 22 Закона о персональных данных предусмотрены исключения, т.е. те условия, при которых можно и не подавать уведомление, не попасть в реестр. К таким исключениям законодатель относит следующие условия:

  1. Персональные данные обрабатываются в соответствии с трудовым законодательством (данные работников)
  2. Персональные данные обрабатываются в связи с заключением договора (персональные данные клиентов и потенциальных клиентов).
  3. Персональные данные обрабатываются при непосредственном участии человека (без использования средств автоматизации – биллинга и т.п.).
  4. Некоторые специфические условия – персональные данные членов общественных объединений и религиозных организаций, только ФИО субъектов и т.д., см ч. 2 ст. 22 Закона о персональных данных.

Из указанного перечня следует, что если данные обрабатываются исключительно на основании согласия субъекта (даже не письменного) – то направлять уведомление в Роскомнадзор всё же следует. Так что если, к примеру, сайт вашей организации предусматривает две формы сбора персональных данных – заявка на подключение (ФИО, адрес подключения, паспортные данные), а также – форма обратной связи для вопросов рекомендуется осуществить следующие действия. По заявке на подключение – необходимо, чтобы на сайте была оферта, и таким образом – вводя свои персональные данные, потенциальный абонент уже заключает с вами договор. В форме обратной связи лучше всего будет оставить лишь два поля: электронный адрес и поле, куда непосредственно вводится вопрос лица: таким образом, сбор персональных данных осуществляться не будет.

С другой стороны – даже если не производить указанные выше действия и оставить согласие – сначала Роскомнадзор «любезно» пришлёт требование направить ему уведомление о начале обработки персональных данных. В ответ на него можно направить соответствующее уведомление, либо информационное письмо, в котором обосновать наличие исключений, позволяющих не «включаться» в Реестр операторов персональных данных.

В настоящее время нет большой разницы в действиях Роскомнадзора в зависимости от того, включена компания в Реестр или нет, так как требования законодательства в области персональных данных необходимо соблюдать в обоих случаях.

При выборе мер по обеспечению соблюдения требований законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

В настоящее время контроль и надзор осуществляется административным органом в двух формах. Во-первых, в виде проверки (плановой или внеплановой). Плановые проверки проводятся в отношении лиц, сведения о которых содержатся в Реестре операторов персональных данных, который ведёт Роскомнадзор (далее – «Реестр»). Сведения об операторе заносятся в Реестр только после отправки таким оператором уведомления о начале обработки персональных данных. Вследствие того, что направление указанного уведомления существенно повышает риск попасть под проверку надзорного органа – мы не рекомендуем своим клиентам направлять уведомление, особенно ввиду того, что при грамотно составленной документации это абсолютно законно. Вместе с тем при наличии письменных запросов территориального управления Роскомнадзора, следует под угрозой штрафа включиться в Реестр.

Внеплановые проверки могут проводиться по нескольким основаниям, наиболее частым из которых, на сегодняшний день, является подача жалобы клиентом и третьим лицом.

Также возможны мероприятия систематического наблюдения, а именно: осмотр сайта на предмет соблюдения законодательства в области защиты персональных данных.

В нижеуказанной таблице отражены проверки Роскомнадзора по Персональным данным.

В 2018 уже проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений — 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).

Очевидно, что чем больше клиентов, т.е. чем крупнее организация, тем больше шанс спровоцировать недовольство абонентов и вследствие этого получить жалобу. В этой связи необходимо выстроить наиболее эффективный и качественный процесс работы с физическими лицами, максимально соблюдать требования законодателя. Для таких организаций, которые работают с большим количеством абонентов, которые включены в Реестр, а также в отношении которых есть основания ожидать «интерес» со стороны административного органа, мы готовим стандартный пакет документов. В него входит ряд локальных, технических и публичных актов, которые позволяют минимизировать риски административных штрафов при детальной документарной проверке Роскомнадзора на предмет соблюдения законодательства в сфере персональных данных (список ниже).

Если шанс жалобы абонента на вашу организацию минимален и уведомление в Роскомнадзор о начале обработки персональных данных не подано – то вероятность плановой / внеплановой проверки Роскомнадзором вашей организации на порядок ниже. Зато есть большая вероятность попасть под мероприятие систематического наблюдения (мониторинг). При мониторинге у Роскомнадзора нет возможности ознакомиться с внутренним положением дел в организации, они смотрят лишь на внешнюю деятельность (в 99% случаев – веб-сайт, большинство штрафов и предписаний при мониторинге выносится за несоблюдение требований законодательства на сайте). Однако и за нарушения на сайте – выдают штраф от 15 до 30 тысяч рублей Более того, мало отделаться штрафом, Роскомнадзор также уже сейчас запрашивает у Оператора описание мер, предпринятых для устранения нарушения под угрозой штрафа в размере от 3 до 5 тысяч рублей за не исполнение предписания по ст. 19.7 КоАП РФ.

Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:

  • ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; — НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
  • НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.

Укажем минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:

  • Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
  • Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
  • Форма Обязательства о неразглашении Персональных данных.
  • Приказ о проведении внутренней проверки в области Персональных данных.
  • Перечень Персональных данных, подлежащих защите.
  • Форма согласия абонента на обработку Персональных данных.
  • Форма согласия сотрудника на обработку персональных данных.
  • Приказ о выделении помещений для обработки Персональных данных.
  • Перечень информационных систем Персональных данных.
  • Технический паспорт информационных систем Персональных данных.
  • Приказ о назначении ответственного администратора информационной безопасности.
  • Инструкция администратора информационной безопасности.
  • Приказ об утверждении Положений в области Персональных данных.
  • Положение об обработке Персональных данных (Политика).
  • Положение о защите Персональных данных.
  • Положение о хранении Персональных данных.
  • Приказ о классификации информационных систем Персональных данных.
  • Акт классификации информационных систем Персональных данных.
  • Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
  • Инструкция пользователя информационных систем Персональных данных.
  • Порядок резервирования и восстановления Персональных данных.
  • План внутренних проверок в области Персональных данных.
  • Регламент по реагированию на запросы субъектов Персональных данных.
  • Инструкция о порядке обращения с носителями Персональных данных.
  • Правила внутреннего контроля в области Персональных данных.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *