Виды персональных данных
Содержание:
- Передача персональных данных
- Какая предусмотрена ответственность за разглашение
- Что должно содержать положение о защите персональных данных в 2018 году
- Структура Положения о персональных данных
- Что относится к персональным данным
- Обработка персональных данных работника
- Что относится к персональным данным
- Классификация персональных данных
- Ответственность за нарушение норм, регулирующих обработку персональных данных
- Виды персональных данных работника
- Образец приказа о защите персональных данных работников
Передача персональных данных
4.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
4.1.3. Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
4.1.4. Осуществлять передачу персональных данных работников в пределах Компании в соответствии с настоящим Положением.
4.1.5. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.1.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
4.1.7. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.
4.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
4.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
— наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
— цель обработки персональных данных и ее правовое основание;
— предполагаемые пользователи персональных данных;
— установленные федеральными законами права субъекта персональных данных.
Какая предусмотрена ответственность за разглашение
Помимо порядка сбора информации, положение об обработке персональных данных работников содержит указания на ответственность за несоблюдение утвержденных правил. Распространяется это как на коллектив, так и на работодателя.
При разглашении данных без согласия работника в 2018 году налагаются штрафы в размере:
- для физических лиц 3 000-5 000 рублей;
- для должностных лиц 10 000-20 000 рублей;
- для юридических лиц 15 000-75 000 рублей.
Разработка нормативного документа, посвященного защите персональных данных это требование для каждого работодателя. В бланке содержится перечень сведений, относящихся к конфиденциальным, приводится порядок сбора и хранения личной информации. Важные пункты меры по защите данных и ответственность, налагаемая в случае несоблюдения установленных правил. Далее можно скачать положения о персональных данных работников на 2018 год — образец. Единая форма документа не установлена.
Что должно содержать положение о защите персональных данных в 2018 году
Действующие нормативные акты не устанавливают, какие именно разделы или сведения должны быть отражены в таком Положении. Также нигде не указываются критерии, по которым необходимо производить его оформление.
Обычно при подготовке этого акта используются требования закона о персональных данных, а также общепринятые нормы оформления внутренних актов в компаниях.
Общие положения документа
В данном разделе указываются цели, которые преследуются при его составлении. Здесь же нужно сделать отсылки к законам и иным нормативным актам в области защиты персональных данных. Также здесь нужно писать каким образом положение должно быть введено в действие, и как в него будут вноситься изменения.
Список персональных данных работников
Этот раздел является одним из самых важным во всем положении. Именно здесь будет указано, какие конкретные персональные данные будут подпадать под защиту.
Производить составление данного раздела лучше всего после того, как от работников будут получены все необходимые документы, а также проведен анализ содержащейся там информации.
Внимание: в этом же разделе можно указать внутренние документы компании, в которых могут также находиться персональные данные работников, а потому они также должна подлежать защите.
Работа с персональными данными
В этом разделе указываются структурные подразделения либо конкретные лица, которые получают право на доступ к персональным данным. Здесь де необходимо описать, на каких носителях и в каком случае могут храниться данные в субъекте бизнеса — к примеру, в виде бумажных распечаток, в виде электронной базы данных и т.д.
Доступ к персональным данным
В данном разделе описываются методы, при помощи которых персональные данные работников, имеющиеся в субъекте бизнеса, могут быть переданы другим работникам без соответствующих полномочий. Также в этом разделе необходимо описать, при следовании какого порядка происходит передача имеющихся данных в сторонние организации, госорганы, третьим лицам.
Обязанности сотрудников, кто имеет доступ к персональным данным
В данном разделе описываются действия, которые должны выполнять работники, имеющие доступ к персональным данным остальных сотрудников субъекта бизнеса.
Права работников по операциям с персональными данными
В данном разделе необходимо описать права сотрудников, которые передали организации свои персональные данные, а также права тех работников, какие имеют доступ к этим данным во время выполнения своих обязанностей.
Защита персональных данных
Здесь необходимо описать, как именно и в каком месте компании хранятся полученные персональные данные.
Также нужно подробно описать, какими именно способами происходит защита персональных данных на бумажных носителях — например, хранение в архивных шкафах с замками, установка кодового замка на двери архива и т. д.
Важно: также отдельно необходимо указать, где хранятся и как именно происходит защита данных, расположенных на электронных носителях.
Структура Положения о персональных данных
Настоящее положение определяет порядок обработки персональных данных работников ООО “Светлячок” (далее – Общество). Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2. Основные понятия. Состав персональных данных работников.
Здесь работодатель приводит общие термины и определения (из закона о персональных данных). Что такое персональные данные, их обработка, распространение, передача и т.п. Какие документы содержат персональные данные (личное дело, трудовые книжки и т.п.) и где они хранятся (хранение персональных данных). Поможет статья 3 Федерального закона “О персональных данных”.
3. Обработка персональных данных.
На эту тему на сайте мы разместили отдельную публикацию. В этот раздел работодатель включает условия, при которых осуществляется работа с данными. Основные моменты: источник данных – сам работник, запрет получать и обрабатывать специальные категории персональных данных (кроме случаев, установленных законом). Что должно содержать письменное согласие на обработку работника. Поможет статья 6 Закона.
4. Передача персональных данных.
Раздел содержит основания передачи данных работника, что содержит согласие на передачу таких данных. Порядок передачи данных внутри организации и третьим лицам. Статья 86-88 Трудового кодекса РФ.
5. Доступ к персональным данным.
Обычно он делится на внутренний (самому работнику) и внешний (третьим лицам). Сюда же обычно включаются права работника на доступ к своим данным, порядок предоставления такого доступа. Статья 89 Трудового кодекса РФ.
6. Ответственность за нарушение законодательства в области обработки и защиты персональных данных.
Во-первых, это возможность применить дисциплинарные взыскания. Во-вторых, компенсация морального вреда. В-третьих, иная ответственность разглашение персональных данных вплоть до уголовной. Здесь не нужно перечислять все виды ответственности. Достаточно указать в общей форме. Например, “работники Общества, нарушившие правила Положения, несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность в порядке, установленном законодательством РФ”. Статья 90 Трудового кодекса РФ.
Что относится к персональным данным
Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.
Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.
Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.
Обработка персональных данных работника
А. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов
Б. Обработка персональных данных работника осуществляется исключительно в целях содействия работникам в трудоустройстве
В. Обработка персональных данных работника осуществляется исключительно в целях получения образования и продвижения по службе
Г. Обработка персональных данных работника осуществляется исключительно в целях обеспечения личной безопасности работников
Д. Обработка персональных данных работника осуществляется исключительно в целях обеспечения контроля количества и качества выполняемой работы
Е. Обработка персональных данных работника осуществляется исключительно в целях обеспечения сохранности имущества
Ж. Иное
Что относится к персональным данным
Определение в 2018 году берется из закона № 152-ФЗ «О персональных данных» от 27.07.2006. На его основании, к личным сведениям относится любая информация о физическом лице.
Среди прочего это:
- Реквизиты паспорта.
- Сведения об образовании.
- Номер СНИЛС.
- Семейное положение.
- Сведения о предыдущих местах работы.
Вопрос сбора и хранения личных сведений регламентируется и Трудовым кодексом. В согласии с ним, работодатель обязуется обрабатывать данные только в следующих целях:
- Содействие трудоустройству работника и его карьерному росту.
- Содействие получению работником дополнительного образования.
- Контроль качества выпускаемой продукции.
- Обеспечение безопасности сотрудника.
- Контроль сохранности имущества.
От работодателя ожидается, что он должным образом позаботится о сохранности личных данных сотрудников. Они содержатся в ряде документов. Среди них карточка по форме Т-2, где отражены ФИО, семейное положение и данные об образовании работника. Также к этой группе относится трудовой договор (отражена должность и оплата труда), трудовая книжка (предыдущие места трудоустройства и стаж), диплом или сертификат (полученное образование).
Положение о работе с персональными данными включает описание комплекса мер, направленных на защиту информации. Стоит заметить, что получить ее можно непосредственно от работника. Распространять такие сведения третьи лица могут только с его согласия.
Классификация персональных данных
ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:
- обезличенные;
- общие;
- биометрические;
- специальные.
Общие персональные данные
Общие персональные данные — это основная информация о человеке. К ним относят:
Обработка персональных данных в организации
Цель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье
- ФИО;
- место прописки и проживания;
- паспортные данные;
- образование;
- ИНН;
- контактные данные;
- сведения о работе;
- размер доходов и т. д.
Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.
Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.
Личная жизнь гражданина, которая включает в себя также различные виды тайн (врачебная, налоговая, тайна усыновления и другие) защищена от разглашения статьей 137 УК РФ. Подробнее можно прочитать в этой статье.
Биометрические ПД
Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.
Специальные ПД
Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.
Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.
Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:
Обезличенные ПД
Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:
- адресные книжки;
- справочники;
- реестры;
- СМИ.
В ноябре 2016 г. состоялось первое собрание рабочей группы администрации Президента РФ по проблеме использования положений ФЗ № 152 к так называемым Big Data. Это данные, которые от пользователя поступают в сеть: IP-адрес, формы авторизации, история браузера, сведения, которые накапливают о владельце гаджеты и умные бытовые приборы.
Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.
Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1. Работники Компании, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
6.2. Руководитель Компании за нарушение порядка обращения с персональными данными несет административную ответственность согласно ст. ст. 5.27 и 5.39 КоАП РФ, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом работнике.
Лист ознакомления с
Положением о персональных данных
Лист ознакомления работников ООО «Олимп»
с Положением о персональных данных, утвержденным Приказом N 39/к
от «12» января 2010 г., до подписания трудового договора
| N п/п | Ф.И.О. работника | Дата ознакомления | Подпись |
| 1 | Горячев Сергей Иванович | 15.01.2010 | Горячев |
| 2 | Токарев Юрий Сергеевич | 15.01.2010 | Токарев |
Приложение № 5
ООО «Олимп»
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича, слесарь
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на обработку персональных данных
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных», со сведениями о фактах, событиях и обстоятельствах моей жизни, представленных в ООО «Олимп».
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
___________________________ Чижов А.Н.
29.03.2010
Приложение № 6
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на получение персональных данных от третьих лиц
Я, Чижов Андрей Николаевич, в соответствии со статьей 9 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на получение моих персональных данных о предыдущих местах работы и периодах трудовой деятельности от третьих лиц.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
_________________ Чижов А.Н.
29.03.2009
Приложение № 7
ООО «Олимп»
Генеральному директору
Иванову И.И.
от Чижова Андрея Николаевича,
зарегистрированного по адресу:
623380, г. Полевской,
ул. Р.Люксембург, д. 4 кв. 108,
паспорт серия 65 03 N 456789
выдан 20.04.2007 г.
Полевским ГОВД Свердловской области
СОГЛАСИЕ
на передачу персональных данных третьей стороне
Я, Чижов Андрей Николаевич даю согласие Обществу с ограниченной ответственностью «Олимп», расположенному по адресу: г. Полевской, ул. Ленина, дом 11, на предоставление ЗАО «Коммерческий банк «Континент» следующих моих персональных данных для рассмотрения вопроса о предоставлении мне потребительского кредита:
-дата приема на работу;
-должность, по которой я выполняю трудовые обязанности в ООО «Олимп»;
-размер заработной платы.
Настоящее согласие действительно в течение одного месяца с момента его получения.
______________________ Чижов А.Н.
29.01.2010
Козлова Т.А. Персональные данные работника. Сбор, хранение, ответственность за достоверность и незаконное распространение // Управление персоналом. 2007. №6. С. 63-69
Анисимов Л.Н. Персональные данные работника: Требование к передаче // Справочник кадровика. 2006. №7. С. 24-28
Таблица составлена автором
Молодцов М.В., Головина С.Ю. Трудовое право России. Учебник для вузов. М.:НОРМА, 2003. С. 176
Карабельникова Б.А. Подход Верховного Суда РФ к проблемам применения ТК РФ // Юрист. 2004. № 14
Постановление Пленума ВС РФ от 12.03.2003 г. «Обзор судебной практики Верховного суда РФ за четвертый квартал 2002г. (по гражданским делам) // Бюллетень верховного суда РФ. 2003. № 7.
Пункт 3 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями)
Виды персональных данных работника
Личные данные работника в своей основной части хранятся в отделе кадров. Частично они также могут находиться в ОТИЗе и других отделах предприятия, занимающихся обработкой персональных данных.
Например, на предприятиях с усиленным режимом часть конфиденциальной информации о сотрудниках может храниться в отделе, ответственным за режим и охрану.
Отдел кадров получает и начинает хранить конфиденциальную информацию о работнике при его поступлении на работу.
Трудовой кодекс содержит минимальный перечень документов, которые претендующий на получение работы должен предоставить. В вы можете ознакомиться с этим списком.
Некоторые должности, сферы деятельности, многие учреждения государственной службы, государственные организации требуют в соответствии с законом предоставления специальной персональной информации в виде дополнительных сведений.
Кроме того, в теории ст. 349.1 ТК РФ обязывает сотрудников госкомпаний для избегания конфликта интересов и личной заинтересованности в выполнении возложенных на них функций предоставлять персональную информацию о членах своих семей.
Таким образом, мы можем выделить четыре вида личных данных сотрудников:
- Общая персональная информация.
- Специальная персональная информация.
- Данные, являющиеся результатом или появляющиеся в процессе трудовой деятельности.
- Персональные данные о членах семьи.
Рассмотрим более подробно, что включает каждая из этих групп.
Образец приказа о защите персональных данных работников
При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.
- В начале документа все шаблонно: напишите тут наименование организации, название приказа, его номер, дату и место формирования. После этого переходите к сути.
- Первым делом обозначьте здесь основание, т.е. дайте ссылку на статью закона, в соответствии с которой пишете распоряжение, а также обоснуйте его, т.е. отметьте реальную причину его создания (например, необходимость внедрения правил и норм по защите персональных сведений).
- Далее внесите собственно указание на защиту личной информации работников компании, а также впишите нормативно-правовые бумаги, которые это регулируют, обозначьте требование об ознакомлении с ними персонала под роспись.
- Назначьте ответственное лицо.
- Отдельным пунктом включите информацию о сотруднике, который будет следить за выполнением данного распоряжения (это может быть сам директор предприятия, кто-либо из его заместителей или же начальник отдела кадров, в ведении которого обычно и находится весь объем персональных данных).
- В завершении не забудьте поставить в бланк все нужные подписи.
