Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Порядок хранения персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
- Новое в законодательстве
- Практика применения трудового законодательства
- Кадровое делопроизводство
- Трудовая книжка
- Трудовые споры
- Охрана труда
- Оплата труда
- Рабочее время
- Социальное обеспечение
- Пенсионное обеспечение
- Бухгалтерия и кадры
- Надзор и контроль
- Архивное дело
- Зарубежный опыт
- Кадровый менеджмент
- Рекрутинг
- Банк документов
- Мотивация труда
Статья 87 ТК РФ. Хранение и использование персональных данных работников
Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:
- конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
- срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
- данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
- информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.
Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.
Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.
Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.
Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.
Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:
- главный специалист, который занимается защитой данных;
- заместитель директора, в обязанности которого входит администрирование персоналом;
- менеджер по управлению персоналом;
- начальных отдела кадров.
На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.
Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:
- составление и хранение первичной документации, которая издается в унифицированной форме;
- сохранность бумаг, в которых ведется учет рабочих кадров;
- хранение документации, в которой учитывается специфика распределения рабочего времени;
- сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.
Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.
Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.
Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:
- содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
- быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
- быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
- содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
- предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.
Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.
В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.
Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:
- акты о несчастных случаях на производстве;
- акты о несчастных случаях, которые касаются группы лиц;
- документы о расследовании тяжелого несчастного случая;
- бумаги о несчастных случаях сл смертельным исходом и др.
Положение об обработке персональных данных работников
Закон «О персональных данных». Глава 2. Статья 5
Обработка личных данных компанией обязана осуществляться на законной основе.
- Обработка личных данных компанией должна ограничиваться достижением отдельных, заранее определенных целей. Не допускается также обработка персональных данных, которая несовместима с целью сбора персональных данных.
- Кроме того не может быть допущено объединение баз данных, которые имеют персональные данные, обрабатывание которых осуществляется с целями, несовместимыми между собой.
- Обработке данных подлежат лишь персональные личные данные, отвечающие целям их обработки.
- обрабатываемых данных должно соответствовать установленной цели. Обрабатываемые данные не должны являться избыточными к заявленной цели обработки.
Закон о хранении личных персональных данных гласит, что даже при обработке персональных данных фирмы или организации, должна быть обеспечена точность этих данных, их достаточность и в необходимом случае актуальность по отношению к целям обработки персональных данных сотрудников. Оператор должен принимать все необходимые меры и обеспечивать их принятие по удалению и уточнению неполных/неточных данных.
- описание операций, практикуемых компанией;
- обязанности сотрудников, задействованных при выполнении своей основной рабочей функции и иные данные;
- способ доступа к личным данным сотрудников используемый в фирме;
- права сотрудников компании на приобретение санкционированного персонального доступа к данным;
- правовые механизмы об ответственности работников предприятия за нарушения при проведении операций с данными.
Кроме этого следует учитывать порядок хранения и использования личных данных работников.
Помните, что государственные органы и органы местного самоуправления, компании и граждане, занимающиеся предпринимательством без образования обязаны обеспечивать сохранность архивных документов, куда относятся документы по личному составу, в течение всего срока их хранения, установленного федеральным законом и прочими правовыми актами Российской Федерации и перечнями документов, предусмотренными 3 частью 6 статьи и 1 частью 23 статьи настоящего Федерального закона.
Срок хранения, определенный нормативными документами Российской Федерации, обязателен для всех компаний и организаций, работающих с различными документами.
Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».
Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.
Любой документ, содержащий ПДн, является конфиденциальным и подлежит обязательному учету. Учет документов, содержащих ПДн, осуществляется в соответствии с положениями настоящего Порядка.
Ответственность за организацию ведения учета документов возлагается на должностное лицо ответственное за организацию работ по обработке ПДн.
Персональные данные работников
Все отчуждаемые машинные носители данных, используемые при работе со средствами вычислительной техники (далее ‑ СВТ) для обработки и хранения ПДн, обязательно регистрируются и учитываются в Журнале учета выдачи машинных носителей ПДн (Приложение В).
Неотчуждаемые носители информации подлежат учету в составе системных блоков СВТ, которые в свою очередь учитываются в Техническом паспорте ИСПДн.
Ответственность за ведение Журнала учеты выдачи машинных носителей ПДн и контроль учета носителей ПДн возлагается на администратора информационной безопасности.
Каждому машинному носителю, содержащему ПДн, присваивается учетный номер согласно Журналу.
В качестве учетного номера допускается использование серийного (заводского) номера носителя. В случае отсутствия серийного номера, учетный номер наносится на носитель информации или его корпус. Если невозможно маркировать непосредственно машинный носитель данных, то маркируется упаковка, в которой хранится носитель. В этом случае учетный номер записывается также на носитель машинным способом.
Машинные носители ПДн выдаются пользователям или другим лицам, участвующим в обработке ПДн, для работы под подпись в Журнале. По завершении работы машинные носители ПДн сдаются обратно.
В случае повреждения машинных носителей ПДн, работник, за которым закреплен носитель, сообщает о случившемся должностному лицу ответственному за защиту ПДн.
Передача носителя, содержащего ПДн, третьим сторонам производится в соответствии с требованиями договора между Администрация и третьим лицом.
Машинные носители ПДн пересылаются в том же порядке, что и документы.
При фиксации ПДн на машинных носителях не допускается фиксация на одном машинном носителе ПДн, цели обработки которых заведомо не совместимы.
Вынос машинных носителей, содержащих ПДн, за пределы контролируемой зоны Администрация запрещается без соответствующего разрешения должностного лица ответственного за защиту ПДн.
Хранение носителей, содержащих ПДн, осуществляется в условиях, исключающих возможность хищения, нарушения целостности или уничтожения содержащейся на них информации.
Отчуждаемые съемные носители после окончания работы с ними должны убираться в сейфы или металлические шкафы, запираемые на ключ.
Не допускается оставлять без присмотра на рабочем столе или в СВТ машинные носители, содержащие ПДн.
Персональную ответственность за сохранность полученных машинных носителей и предотвращение несанкционированного доступа к записанным на них ПДн несет работник, за которым закреплен носитель.
Основанием для уничтожения машинных носителей ПДн, является повреждение машинного носителя, исключающее его дальнейшее использование, или потеря практической ценности носителя. Решение об уничтожении машинного носителя принимает должностное лицо ответственное за защиту ПДн.
Списанные машинные носители, подлежащие уничтожению, хранятся в сейфе должностного лица ответственного за защиту ПДн. Уничтожение таких носителей производится раз в год.
Уничтожение носителей производится путем их физического разрушения с предварительным затиранием (форматированием, уничтожением) содержащихся на них ПДн, если это позволяют физические принципы работы носителя.
Уничтожение машинных носителей производится Комиссией в составе не менее
3 человек. В состав Комиссии должно обязательно входить должностное лицо ответственное за защиту ПДн. После уничтожения всех машинных носителей составляется Акт об уничтожении персональных данных (Приложение Г).
При уничтожении, машинные носители снимаются с учета. Отметка об уничтожении носителей проставляется в Журнале.
Основанием для уничтожения (стирания) записей или части записей с электронного носителя являются следующие случаи:
— возврат носителя сотрудником;
— передача носителя в ремонт;
— списание носителя.
Хранящаяся на электронных носителях и потерявшая актуальность информация, содержащая ПДн, своевременно стирается (уничтожается). Работник, совместно с администратором информационной безопасности, принимает окончательное решение о необходимости уничтожения (стирания) с него записей.
Работник осуществляет уничтожение информации с носителя самостоятельно, с использованием встроенных средств ОС.
При невозможности самостоятельного уничтожения информации с носителя, работник передает электронный носитель должностному лицу ответственному за защиту ПДн. Совместно с носителем передается служебная записка, в которой указывается причины передачи (возврата) и основание для уничтожения содержащейся на нем информации.
Должностное лицо ответственное за защиту ПДн, ответственное за уничтожение (стирание) информации с электронных носителей, при получении носителя должно обеспечить уничтожение (стирание) информации с носителя, способом, исключающим ее дальнейшее восстановление и подготовить Акт об уничтожении персональных данных (Приложение Г).
В Акт заносится дата, учетный номер носителя и способ уничтожения (стирания) информации, а также используемые для этого программные средства.
Носители, пригодные к повторной эксплуатации, после уничтожения записанной на них информации могут быть использованы для повторной записи информации.
Положение о порядке хранения и защиты персональных данных
Заключение Отметим, что документы, в которых закрепляются положения о вопросах обработки и защиты персональных данных, могут стать объектом проверки контролирующих органов, в частности сотрудников Роскомнадзора. Поэтому работодателю следует ответственно подойти к их разработке.В заключение дадим несколько советов работодателям по оформлению локальных документов, регламентирующих работу с персональными данными сотрудников:1. Разрабатывая документы, необходимо указывать конкретные нормы закона, на основании которых работодатель обрабатывает персональные данные.2.
Запрашивая с работника согласие на обработку его персональных данных, кроме нормы закона следует указывать цели, для которых они запрашиваются.3. Помимо Положения в некоторых случаях нужно издавать приказы работодателя.
Федерального закона от 27.07.2006 № 152-ФЗ). Как и любая другая информация, персональные данные обрабатываются, т. е. происходит их сбор, систематизация, накопление, хранение, передача, уничтожение и т.д. Для того, чтобы обработка персональных данных не могла нарушить права и свободы гражданина, в т.ч. права на неприкосновенность частной жизни, личную и семейную тайну, требуется должная защита персональных данных. Актуальной эта тема является и для всех работодателей, ведь они, по сути, постоянно занимаются обработкой тех или иных персональных данных своих работников.
Сюда относятся, к примеру, паспортные данные работника или адрес его проживания, информация об образовании или стаже работника, сведения о заработной плате или семейное положение сотрудника и т.д.
В отделе кадров Общества кроме личных дел создаются и хранятся следующие документы, содержащие персональные данные работников:- трудовые книжки;- подлинники и копии приказов (распоряжений) по кадрам;- приказы по личному составу;- материалы аттестаций и повышения квалификаций работников;- материалы внутренних расследований (акты, докладные, протоколы и др.);- копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения;- другие.3.5. Персональные данные работников также хранятся в электронном виде на локальной компьютерной сети. Доступ к электронным базам данным, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей. Пароли устанавливает системный администратор Общества, затем они сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным работников.
В контексте трудовых отношений к ним, как правило, относятся:
- ФИО;
- дата рождения;
- паспортные данные;
- адрес регистрации и проживания;
- ИНН;
- номер СНИЛС;
- информация об образовании и трудовом стаже.
Это лишь минимальный перечень сведений о себе, которые человек предоставляет при приеме на работу. В процессе сотрудничества к нему добавляются: условия трудового договора и дополнительных соглашений, сведения о постановке на воинский учет, социальные льготы, данные о дисциплинарных взысканиях и поощрениях, отчеты для органов статистики и прочие. Массив полученной информации составляет личное дело работника. Для чего нужно положение о работе с персональными данными Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных.
Срок хранения персональных данных работника
Указанным документом чаще всего является положение об обработке персональных данных работников. Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:
- общие нормы, содержащие предназначение акта, ссылки на нормативную основу его разработки;
- состав личных сведений, список их носителей;
- права работника по контролю за обращением с его личной информацией;
- меры, которые требуется предпринимать организации для защиты сведений, порядок обработки, использования;
- последовательность действий при передаче персональной информации;
- список сотрудников, обладающих доступом;
- санкции за неисполнение правил обращения с рассматриваемыми сведениями.
Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.
Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:
К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.
При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.
При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).
При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.
И все эти данные, согласно нынешнему законодательству, подлежат защите.
Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:
- категория обрабатываемых персональных данных;
- объем обрабатываемых персональных данных;
- тип информационной системы;
- структура информационной системы и местоположение ее технических средств;
- режимы обработки персональных данных;
- режимы разграничения прав доступа пользователей;
- наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.
Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.
Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:
- информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
- информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Далее необходимо перейти к обработке этих данных, но перед тем, как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):
Статья 6 ФЗ-152:
Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.
Также необходимо руководствоваться Трудовым Кодексом, Глава 14. Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК).
В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:
– фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
– срок, в течение которого действует согласие, а также порядок его отзыва.
Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:
– цель и задачи в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
– как происходит сбор и хранение персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в том числе от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением под подпись.
1. Термины и определения
Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) — и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:
1. Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:
– цель и задачи в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
– как происходит сбор и хранение персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в том числе от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.
3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
– угрозы утечки информации по техническим каналам;
– угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
– угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
1.1. Важнейшим условием реализации целей деятельности ООО «ТРИУМФ» (далее ООО «ТРИУМФ» либо Оператор) является обеспечение необходимого и достаточного уровня информационной безопасности информации, к которой, в том числе, относятся персональные данные.
1.2. Политика в отношении обработки персональных данных в ООО «ТРИУМФ» (далее – Положение) определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в ООО «ТРИУМФ» (далее – Компания), а также сведения о реализуемых требованиях к защите персональных данных.
1.3. Политика разработана в соответствии с действующим законодательством РФ.
2.1. Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Детальный перечень персональных данных фиксируется в локальной нормативной документации ООО «ТРИУМФ».
2.2. Все обрабатываемые ООО «ТРИУМФ» персональные данные являются конфиденциальной, строго охраняемой информацией в соответствии с законодательством.
2. Используемые сокращения
5.1. Оператор проводит следующие мероприятия: определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз; осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; осуществляет установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе; осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; вправе инициировать разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; имеет описания системы защиты персональных данных.
6.1. ООО «ТРИУМФ» как Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.
7.1. Субъект персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
8.2. Настоящая Политика является внутренним документом ООО «ТРИУМФ», и подлежит размещению на официальном сайте ООО «ТРИУМФ».
8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных ООО «ТРИУМФ».
Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:
- конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
- срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
- данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
- информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.
Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение. Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.
Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности.
Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.
Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.
Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем. В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных. Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:
- главный специалист, который занимается защитой данных;
- заместитель директора, в обязанности которого входит администрирование персоналом;
- менеджер по управлению персоналом;
- начальных отдела кадров.
На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.
Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.
Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей. Данные лица должны обеспечить выполнение следующих функций:
- составление и хранение первичной документации, которая издается в унифицированной форме;
- сохранность бумаг, в которых ведется учет рабочих кадров;
- хранение документации, в которой учитывается специфика распределения рабочего времени;
- сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.
Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.
Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных. Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования. Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.
Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда. Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:
- содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
- быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
- быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
- содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
- предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.
Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.
В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.
Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:
- акты о несчастных случаях на производстве;
- акты о несчастных случаях, которые касаются группы лиц;
- документы о расследовании тяжелого несчастного случая;
- бумаги о несчастных случаях сл смертельным исходом и др.
При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:
- перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
- список лиц, которые имеют право получать личные данные;
- правила хранения, обработки, передачи, защиты и предоставления личной информации;
- должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.
Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности.
4. Общие положения
1.1. Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты прав субъектов персональных данных в группе компаний «СКБ Контур» (далее — СКБ Контур, Группа компаний).
1.2. Политика распространяется на следующие юридические лица (далее — Общества), входящие в СКБ Контур:
- Акционерное общество «ПФ «СКБ Контур»;
- Общество с ограниченной ответственностью «Сертум-Про»;
- Общество с ограниченной ответственностью «ЦИБ-Сервис»;
- Общество с ограниченной ответственностью «РСЦ Инфо-Бухгалтер»;
- Общество с ограниченной ответственностью «Контур НТТ»;
- Общество с ограниченной ответственностью «Контур Факторинг»;
- Общество с ограниченной ответственностью «Контур Рисерч»;
- Общество с ограниченной ответственностью «Аргос СПБ»;
- Общество с ограниченной ответственностью «Контур Инновации»;
- Общество с ограниченной ответственностью «Контур-Парк»;
- Общество с ограниченной ответственностью «СБК»;
- Общество с ограниченной ответственностью «УралФинИнвест»;
- Общество с ограниченной ответственностью «Бизнес-Софт Санкт-Петербург»;
- Общество с ограниченной ответственностью «УК «ОФИС-СЕРВИС»;
- Автономная некоммерческая организация ДПО «Учебный центр СКБ Контур».
1.3. Политика распространяется на весь персонал СКБ Контур (включая работников по трудовым договорам и сотрудников, работающих на основании иных договоров с Обществами) и все структурные подразделения Обществ.
1.4. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессах обработки СКБ Контур персональных данных, например, в случаях передачи в установленном порядке со стороны СКБ Контур персональных данных подрядчикам, партнерам и иным контрагентам на основании поручений на обработку персональных данных, иных соглашений и договоров.
3.1. Обработка персональных данных осуществляется СКБ Контур на законной и справедливой основе, основными правовыми основания для обработки являются:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи»;
- Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 07.07.2003 г. № 126-ФЗ «О связи»;
- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Федеральный закон от 19.12.2012г. № 273-ФЗ «Об образовании в Российской Федерации»;
- Федеральный закон от 22.05.2003г. № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа;
- Федеральный закон от 12.01.1996 г. N 7-ФЗ «О некоммерческих организациях»;
- Закон РФ от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;
- Регламент удостоверяющего центра АО «ПФ «СКБ Контур»;
- Регламент удостоверяющего центра ООО «Сертум-Про»;
- Регламент удостоверяющего центра ООО «ЦИБ-Сервис»;
- Регламент удостоверяющего центра ООО «РСЦ Инфо-Бухгалтер»;
- Регламент площадки электронного факторинга ООО «Контур Факторинг»;
- Уставы Обществ;
- Договоры и соглашения Обществ;
- Согласия субъектов персональных данных.
4.1. Общества СКБ Контур, помимо деятельности в качестве операторов персональных данных, могут выступать как лица, осуществляющие обработку персональных данных по поручению других операторов персональных данных на основании договоров и иных соглашений. К таким случаям относятся, например, следующие:
- 4.1.1. предоставление клиентам СКБ Контур прав на использование программных продуктов;
- 4.1.2. оказание клиентам СКБ Контур услуг, связанных с обработкой данных;
- 4.1.3. осуществление совместной со сторонними организациями обработки в рамках партнерства СКБ Контур.
4.2. Общества СКБ Контур при необходимости могут привлекать сторонние организации к обработке персональных данных в качестве субподрядчиков при условии соблюдения принципов обработки и наличия с ними соответствующего договора или соглашения. К таким случаям относятся, например, следующие:
- 4.2.1. предоставление продуктов и услуг СКБ Контур совместно разными Обществами, а также со сторонними организациями, технологическими и иными партнерами СКБ Контур;
- 4.2.2. организация партнерской сети СКБ Контур для распространения продуктов и услуг на рынке;
- 4.2.3. использование сторонних услуг, вычислительных ресурсов, приложений и инфраструктуры для обработки информации, связи с потребителями продуктов и услуг.
4.3. Обработка персональных данных на основании договоров и иных соглашений СКБ Контур, поручений на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений СКБ Контур с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:
- 4.3.1. цели, условия, действия с персональными данными, сроки обработки персональных данных;
- 4.3.2. роли, функции и обязательства сторон, в том числе, меры по обеспечению конфиденциальности и информационной безопасности;
- 4.3.3. права и ответственность сторон, касающиеся обработки персональных данных.
4.4. В случаях, когда применимым законодательством является GDPR, предполагающий наличие соглашений DPA между участниками обработки, роль DPA после включения специальных разделов с условиями обработки персональных данных могут выполнять следующие документы:
- 4.4.1. лицензионные договоры на право использования программного обеспечения;
- 4.4.2. типовые договоры и соглашения, включающие поручения на обработку данных;
- 4.4.3. соглашения о конфиденциальности, обеспечении информационной безопасности;
- 4.4.4. правила использования информационных ресурсов, пользовательские соглашения;
- 4.4.5. регламенты, положения, соглашения об обработке данных, уровне сервиса.
5.1. В случаях обработки, не предусмотренных действующим законодательством или договором с субъектом явно, обработка осуществляется после получения согласия субъекта персональных данных. Обязательным случаем получения предварительного согласия является, например, контакт с потенциальным потребителем в маркетинговых целях, при продвижении товаров и услуг СКБ Контур на рынке.
5.2. Согласие может быть выражено в форме совершения субъектом персональных данных конклюдентных действий, например:
- 5.2.1. принятия условий договора-оферты, лицензионного соглашения, правил пользования информационными ресурсами и сервисами СКБ Контур;
- 5.2.2. продолжения взаимодействия с пользовательскими интерфейсами, работы в приложениях, сервисах, информационных ресурсах СКБ Контур после уведомления пользователя об обработке данных;
- 5.2.3. предоставления необходимых разрешений мобильному приложений при запросе в момент установки или использования;
- 5.2.4. проставления отметок, заполнения соответствующих полей в формах, бланках;
- 5.2.5. поддержания электронной переписки, в которой говорится об обработке;
- 5.2.6. прохода на территорию после ознакомления с предупреждающими табличками и знаками;
- 5.2.7. иных действий, совершаемых субъектом, по которым можно судить о его волеизъявлении.
5.3. В отдельных случаях, предусмотренных законодательством Российской Федерации, согласие оформляется в письменной форме с указанием сведений, предусмотренных 152-ФЗ, а также в соответствии с иными применимыми требованиями, типовыми формами.
5.4. В случаях обработки персональных данных, полученных не от субъекта напрямую, а от других лиц на основании договора или поручения на обработку, обязанность получения согласия субъекта может быть возложена на лицо, от которого получены персональные данные.
5.5. В случае отказа субъекта от предоставления в необходимом и достаточном объеме его персональных данных, СКБ Контур не сможет осуществить необходимые действия для достижения соответствующих обработке целей. Например, в таком случае может быть не завершена регистрация пользователя в сервисе, услуга по договору может быть не оказана, резюме соискателя на вакансию не будет рассмотрено и т.д.
9.1. Права, обязанности и ответственность СКБ Контур определяются применимым законодательством, соглашениями Обществ.
9.2. Ответственность сотрудников Обществ, участвующих в обработке персональных данных в силу выполнения функциональных обязанностей, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом и сотрудником договора, обязательства о неразглашении информации, локальных актов Общества.
9.3. Контроль исполнения требований Политики в каждом из Обществ СКБ Контур осуществляется в общем случае ответственными за организацию обработки персональных данных в соответствующем Обществе, либо отдельными структурными подразделениями и уполномоченными лицами в соответствии с локальными актами конкретных Обществ.
9.4. Ответственность лиц, участвующих в обработке персональных данных на основании поручений СКБ Контур, за надлежащую обработку и неправомерное использование персональных данных устанавливается в соответствии с условиями заключенного между Обществом СКБ Контур и контрагентом договора, соглашения о конфиденциальности информации или иного соглашения.
9.5. В отдельных случаях, предусмотренных применимым законодательством, например, GDPR или местным законодательством в сфере обработки персональных данных отдельно взятых стран, СКБ Контур может назначать представителей на территориях Европейского Союза или данных стран. В подобных случаях права, обязанности и ответственность распределяются в соответствии с договорами, соглашениями между такими представителями и СКБ Контур, а контактные сведения о представителях включаются в Политику.
9.6. Лица, виновные в нарушении норм, регулирующих обработку и обеспечение информационной безопасности персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном применимым законодательством, локальными актами, соглашениями СКБ Контур.
К ПДн относится любая информация, которая косвенно или прямо относится к конкретному гражданину. Например, ФИО, дата и место рождения, адрес, образование, семейное положение, личные качества и т.д. Чтобы организовать хранение персональных данных, руководству предприятия необходимо создать пакет документов:
- положение о работе с ПДн сотрудников;
- журнал учета обращений субъектов ПДн;
- приказ о назначении ответственных по работе с ПДн;
- согласие на обработку персональных данных.
Работодатель обязан ознакомить работников с документацией, касающейся сбора, хранения, обработки и использования конфиденциальной информации. Сотрудники, в свою очередь, должны подписать согласие на обработку ПДн.
На этой странице вы найдете шаблоны документов, без которых невозможно организовать хранение персональных данных на предприятии. Все они разработаны с учетом норм действующего законодательства РФ.
С этим шаблоном часто используют:
- Положение о защите персональных данных клиентов
- Внесение изменений в сведения в реестре операторов ИСПДн
- Организация обработки и защиты ПДн работников
- Реагирование на запрос субъекта персональных данных
- Регистрация оператора ИСПДн внутреннего пользования (Организация работы оператора персональных данных)
Популярные документы и процедуры:
- Перечень персональных данных, подлежащих защите в ИСПДн
- Жалоба на страховую компанию в РСА
- Скачать договор купли-продажи оборудования
- Скачать договор на автоуслуги с ИП
- Приказ о внесении изменений в должностные инструкции
Любые трудовые отношения должны начинаться с подписания документов (об оказании услуг, по кредитованию и др.), заключения трудовых контрактов, приказов с обязательным занесением в эти бумаги личной информации о служащих (фамилии, имени, отчества, адреса – фактического и места прописки, информации о предыдущем рабочем месте, стаже и пр). Поэтому каждый работодатель по закону обязан знать процедуру обработки личных данных своих служащих и выполнять ее.
Существует ряд требований и нормативов, с учетом которых работодатель обязуется производить хранение и использование такой информации:
- период нахождения персональной информации в базе не должен превышать времени, отведенного на реализацию целей и задач, для которых необходима обработка этой информации;
- сразу после решения этих задач и достижения целей всю использованную информацию о работнике требуется обезличить и удалить либо уничтожить;
- если пропала необходимость в дальнейшем хранении и использовании ПДн – такие данные также подлежат уничтожению.
Федеральный закон установил перечень лиц, которые могут производить действия с конфиденциальными данными сотрудников:
- сотрудник, назначенный на должность оператора ПДн;
- заместитель директора по административной работе;
- HR-менеджер;
- начальник кадрового отдела.
Однако остальные сотрудники компании, также периодически сталкиваются с личными сведениями работников при работе с документами. Это бухгалтеры, секретари специалисты по ведению баз данных, специалисты по работе с персоналом.
Все должностные лица предприятия, которые осуществляют обработку ПДн сотрудников, обязаны обеспечить сохранность документов, в которых ведется учет кадров, графиков выплат заработной платы, рабочих смен и прочих кадровых сведений.
Законодательство Российской Федерации предусматривает, что хранение персональных сведений не должно осуществляться дольше того времени, которое отведено на достижение целей, для которых они обрабатывались. В некоторых случаях это время устанавливается самим субъектом ПДн либо законодательством. Во всех остальных случаях оператор определяет и устанавливает срок нахождения данных в базе, а также условия для их удаления (прекращения использования).
Законом предусмотрено право выбора одного из этих условий: либо установить период хранения, либо установить факт прерывания обработки после наступления определенного обстоятельства. Выбор варианта зависит напрямую от вида деятельности организации. Например, для составления статистических отчетов в конце года данные больше не понадобятся, поэтому они должны быть уничтожены.