Персональные данные: а вы готовы к проверке? Принципы, условия и цели и обработки персональных данных

Есть заблуждение, что с персональными данными работают только мобильные операторы и банки. На самом деле это не так. Любая компания обрабатывает персональные данные как минимум своих работников, а еще контрагентов, клиентов, посетителей офисов и т.д. В статье мы рассказали, что такое персональные данные и как их правильно обрабатывать. Читайте и не нарушайте закон - с 1 июля штрафы для компаний вырастут в семь раз.

С персональными данными работает каждая компания, но не каждый юрист знает, что такое персональные данные и как их правильно обрабатывать. Если до 1 июля 2017 года это было еще не так страшно - штрафы за нарушения были невелики, то теперь ситуация изменилась. С этой даты вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят 7 новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ). Штрафы будут платить не только компании, но и работники, которые нарушили закон - включая юристов. Мы решили помочь вам не нарушать закон и рассказали про азы обработки персональных данных, которые касаются каждой компании.

Какая информация относится к персональным данным

Персональные данные - это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (п. 1 ст. 3 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»; далее - Закон № 152-ФЗ). Более конкретно перечень такой информации определен в Указе Президента РФ от 06.03.97 № 188 «Об утверждении Перечня сведений конфиденциального характера»: это сведения о фактах, событиях и обстоятельствах частной жизни гражданина, которые позволяют идентифицировать его личность, за исключением сведений, подлежащих распространению в СМИ в случаях, установленных законом.

В работе юридических и кадровых служб компаний обрабатываемые персональные данные обычно включает в себя следующие сведения о лице:

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес;
• семейное, социальное, имущественное положение;
• образование, профессия, должность, доходы;
• биометрические персональные данные.

Судебная практика расширяет перечень персональных данных. Например, суды признавали персональными данными:

• сведения о смерти гражданина (постановление АС Поволжского округа от 25.09.14 по делу № А49-2005/2014);
• номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу №33-9241/2015);
• фотографии гражданина (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33-5232/2015).

В последнее время есть явная тенденция - перечень сведений, которые составляют персональные данные, становится все шире. Так, Европейский суд справедливости в Решении от 19.10.16 по делу № 582/14 (Патрик Брейр против Германии) признал, что при определенных условиях даже IP-адрес интернет-пользователя может признаваться персональными данными.

Что такое обработка персональных данных

Обработка персональных данных - это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение (п. 3 ст. 3 Закона № 152-ФЗ).

Например, компания обрабатывает персональные данные, если собирает анкеты клиентов (в бумажном виде или через сайт), ведет и хранит клиентскую базу, передает контакты клиентов в call-центр, фиксирует паспортные данные посетителей офиса на контрольно-пропускном пункте и т.д. Фактически персональные данные обрабатывает любая компания.

Nota bene!
Дополнительные условия для обработки персональных данных соискателей и работников установлены гл. 14 ТК РФ и разъяснениями Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве».

Когда нужно уведомлять Роскомнадзор

Если компания обрабатывает персональные данные, она является оператором (п. 2 ст. 3 Закона № 152-ФЗ). Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении (п. 1 ст. 22 Закона № 152-ФЗ).

Направлять уведомление не требуется (п. 2 ст. 22 Закона № 152-ФЗ), если компания-оператор обрабатывает персональные данные, в частности:

• только своих работников;
• для целей заключения и исполнения договоров (например, персональные данные контрагентов);
• для однократного пропуска лица на территорию компании;
• без использования средств автоматизации (персональные данные используют, уточняют, распространяют и уничтожают при непосредственном участии человека - см. Постановление Правительства РФ от 15.09.08 № 687).

Проверьте, подпадает ли компания под исключения, которые указаны в Законе № 152-ФЗ. Если нет - составьте уведомление по официальной форме (Приложение № 2 к административному регламенту, утв. Приказом Минкомсвязи России от 21.12.11 № 346). Затем направьте его в территориальный орган Роскомнадзора по месту регистрации компании. Отправить уведомление можно как на бумажном носителе, так и в форме электронного документа через портал «Госуслуги» (gosuslugi.ru) или официальный сайт Роскомнадзора (pd.rkn.gov.ru/).

Роскомнадзор внесет сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления. Проверить, включена ли компания в реестр, можно на официальном сайте ведомства (pd.rkn.gov.ru/).

Как правильно собирать персональные данные

По общему правилу, чтобы собирать персональные данные, нужно получить согласие их владельца - субъекта персональных данных (пп. 1 п. 1 ст. 6 Закона № 152-ФЗ). Согласие должно быть конкретным, информированным и сознательным (п. 1 ст. 9 Закон № 152-ФЗ). Это значит, что перечень оснований для обработки персональных данных должен быть указан как можно более конкретно, а также содержать срок обработки и порядок отзыва согласия (постановление АС Уральского округа от 29.09.14 по делу № А60-31459/2013, постановление Пятого ААС от 13.08.14 по делу № А59-48/2014).

Закон не устанавливает форму согласия на обработку персональных данных, за исключением особых сведений. Субъект может дать согласие в любой форме, которая позволит подтвердить факт его получения (п. 1 ст. 9 Закона № 152-ФЗ). В частности, согласие может быть выражено в электронной форме путем заполнения анкеты на сайте (постановление ФАС Северо-Западного округа от 13.12.10 по делу № А56-73636/2009, апелляционное определение Омского областного суда от 07.08.13 по делу № 33-5139/2013).

СНОСКА
Письменное согласие субъекта нужно для обработки специальных категорий персональных данных - например, о национальной принадлежности и состоянии здоровья лица (ст. 10 Закона № 152-ФЗ). Согласие можно получить на бумажном носителе или в электронной форме с усиленной квалифицированной электронной подписью.

Получать согласие на обработку в типовой форме договора рискованно, если пункт о согласии просто включен в текст. Суд может признать такой способ ненадлежащим, если потребитель не может изменить это условие - например, сделать отметку о своем согласии или отказе (постановление АС Северо-Западного округа от 18.07.16 по делу № А44-9647/2015, постановление АС Уральского округа от 22.12.16 по делу № А76-5164/2016).

В случае проверки или судебного спора именно оператор обязан доказать, что получит согласие на обработку персональных данных (п. 3 ст. 9 Закона № 152-ФЗ). Поэтому заранее определите, какой тип персональных данных обрабатывает ваша компания. В зависимости от этого разработайте форму получения согласия на обработку. Важный момент - субъект вправе в любое время отозвать свое согласие (п. 2 ст. 9 Закона № 152-ФЗ). Если в компанию поступило такое обращение - она обязана прекратить обработку персональных данных.

Nota bene!
Согласие на обработку персональных данных не нужно, если субъект сам сделал их общедоступными. Например, при регистрации на форуме или в социальной сети. Если субъект потом отзовет согласие на обработку - его можно не учитывать (пп. 10 п. 1 ст. 6, пп. 2 п. 2 ст. 10 Закона).

Как получить согласие у работников

Работников надо ознакомить под роспись с документами компании, которые устанавливают порядок обработки персональных данных, а также их права и обязанности в этой сфере (п. 8 ст. 86 ТК РФ). Такой порядок можно прописать в самом трудовом договоре, приложениях к нему, правилах внутреннего трудового распорядка или других локальных актах - например, политике компании об обработке персональных данных. Факт ознакомления работников с этими документами нужно отдельно фиксировать - например, в специальном журнале.

СНОСКА
За нарушения при обработке персональных данных работников компанию могут привлечь к ответственности по ст. 5.27 КоАП РФ (до 80 тыс рублей штрафа).

Согласие работника на обработку персональных данных не нужно в следующих случаях (см. разъяснения Роскомнадзора от 14.12.12 «Вопросы, касающиеся обработки персональных данных работников, соискателей…»):

• обработка персональных данных близких родственников работника в объеме, предусмотренном личной карточкой по форме Т-2;
• получение мотивированных запросов от прокуратуры, правоохранительных органов, органов безопасности, государственных инспекторов труда;
• обработка нужна для исполнения заключенного с работником договора или возложенных на работодателя обязанностей;
• обработка связана с выполнением работником его трудовых обязанностей, в том числе, при отправлении его в командировки.

Как обеспечить безопасность персональных данных

Персональные данные относятся к конфиденциальным сведениям (ст. 7 Закона № 152-ФЗ). Операторы и иные лица, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта. Оператор обязан обеспечить безопасность персональных данных. Меры зависят от способа обработки данных - с использованием средств автоматизации или вручную.

Если компания ведет автоматизированную обработку персональных данных, на нее распространяются Требования к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.12 № 1119 и Приказ ФСТЭК России от 18.02.13 № 21. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

Для защиты персональных данных без автоматизации предусмотрены рекомендательные меры (ст. 19 Закона № 152-ФЗ и п. 13-15 Положения, утв. постановлением Правительства РФ от 15.09.08 № 687). Одна из таких мер - определить во внутренних документах компании перечень лиц, которые обрабатывают персональные данные или имеют к ним доступ. Можно обеспечить безопасность данных, если раздельно хранить носители персональных данных, которые обрабатываются в различных целях (например, раздельно хранить данные работников, посетителей офисов и клиентов).

Что и кому грозит за нарушения в сфере персональных данных

За нарушения при обработке персональных данных компанию могут привлечь к гражданско-правовой и административной ответственности по ст. 13.11 КоАП РФ. До 1 июля 2017 года максимальным наказанием для должностного лица был штраф в 1 тысячу рублей, а для компании - до 10 тысяч рублей.

С 1 июля 2017 года вступают в силу поправки, которые усиливают административную ответственность (Федеральный закон от 07.02.17 № 13-ФЗ). Поправки вводят дополнительные составы правонарушений в ст. 13.11 КоАП РФ и увеличивают штрафы. В частности, закон вводит ответственность юридических лиц за следующие нарушения:

• обработку персональных данных в случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ) - штраф от 30 тыс до 50 тыс рублей;
• обработку персональных данных без согласия в письменной форме, когда закон требует получить такое согласие (ч. 2 ст. 13.11 КоАП РФ) - штраф от 15 до 70 тыс рублей;
• неопубликование оператором политики в отношении обработки персональных данных, когда такая обязанность предусмотрена законом (ч. 3 ст. 13.11 КоАП РФ) - штраф от 15 до 30 тысяч рублей.

Работника могут привлечь к административной ответственности, но не только. Дополнительно он несет материальную (п. 7 ст. 243 ТК РФ) дисциплинарную (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ) и даже уголовную ответственность (ч. 2 ст. 137 УК РФ).

К ответственности привлекут как работника-нарушителя (например, скопировавшего базу клиентов на свою флешку и передавшего ее конкуренту), так и работника, который несет ответственность за обработку персональных данных в компании.

В последние десятилетия информационные технологии развиваются очень стремительно. В связи с этим личные данные человека нуждаются в серьезной защите от возможного посягательства со стороны мошенников. Для этого в России разработан и сегодня действует Закон «О персональных данных», имеющий своей целью законодательно регламентировать взаимоотношения в сфере передачи и использования личной информации о физических лицах.

Что такое персональные данные

Указанный термин подразумевает абсолютно любую информацию, имеющую отношение к конкретному физическому лицу. Законодательная защита личной информации - это самое важное условие полноценной реализации такого конституционных прав человека и гражданина в сфере частной жизни.

Дорогой читатель! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему - обращайтесь в форму онлайн-консультанта справа или звоните по телефону.

Это быстро и бесплатно !

На уровне закона охраняются все сведения , имеющие отношение к физическому лицу прямо или опосредованно. К этим сведениям относятся: фамилия, имя и отчество человека, адрес места проживания, день рождения, место рождения, контактный телефонный номер, адрес электронной почты, любые сведения относительно принадлежащих ему документов (серия и номер паспорта, данные страхового свидетельства и медицинского полиса, идентификационный номер налогоплательщика). Сюда же можно отнести любую информацию о состоянии его здоровья, семейном положении, расовой и этнической принадлежности, политических взглядов и религии, иные сведения.

Основные принципы обработки

Основополагающим правилом обработки личных данных человека является ее осуществление в четком соответствии с законодательными нормами. К иным не менее важным принципам можно отнести следующие:

• Целевой характер применения используемых личных данных. Неконтролируемая и нецелевая переработка информации личного характера незаконна. Запрещено соединение нескольких баз, содержащих данные различной целевой направленности. Работа с личными данными должна производиться ровно в том размере и объеме, какие необходимы для достижения соответствующей цели.
• Точность, достаточность передаваемой информации. Субъект, производящий обработку соответствующих сведений, обязано обеспечить их точность и актуальность, а в случае обнаружения любого несоответствия действительности, уточнить их либо удалить неверную информацию.
• Ограниченный определенными временными рамками срок хранения информации. Такой срок устанавливается законодательством либо оговаривается сторонами в договоре между ними. Если же срок хранения не регламентирован, он не может превышать разумную длительность для соответствующей цели. Когда установленный срок истекает, дальнейшее хранение данных не может осуществляться и они подлежат удалению.

Кто такой оператор

Данный термин объединяет в себе широкий перечень лиц, обладающих любым видом доступа к объекту обработки. Эти лица производят их передачу, хранение, определяют цель и объем их использования. То есть абсолютно каждое лицо, которому по той или иной причине стали известны персональные данные можно назвать оператором. И все они обязаны соблюдать законодательные требования и принципы в данной области. Операторами могут быть органы государственной власти, физические лица, организации любой формы собственности.

Каждый оператор прежде чем приступить к обрабатыванию личностных данных обязан уведомить о своем желании осуществлять такую деятельность Роскомнадзор.

Территориальные подразделения Роскомнадзора ведут специальные реестры для обобщения информации.

Для чего нужна обработка личных данных

В современном мире персональные данные имеют особенно значимую ценность по многим причинам. Именно поэтому порядок работы с личными данными человека должен быть регламентирован на уровне закона. Лица, имеющие доступ к персональным данным, обязаны использовать их в четком соответствии с требованиями законов РФ. Несоблюдение этого важного правила может повлечь привлечение виновного лица к ответственности (административной, дисциплинарной или уголовной).

Согласие на передачу личных данных

Все мы сталкивались хоть раз с предложением подписания согласия на обработку персональных данных, заключая договоры, устраиваясь на работу, делая покупки в интернете и во многих других ситуациях. Такое согласие должно четко содержать намерение лица передать информацию личного характера оператору и согласие на ее переработку. Человек, давший такое согласие, вправе впоследствии его отменить.

В некоторых случаях согласие на обработку персональных данных может быть выражено только в письменном виде и закреплено личной подписью. К письменному согласию приравнивается по юридической силе согласие в электронной форме за цифровой подписью субъекта персональных данных.

Требования к содержанию такого документа:

• сведения о правообладателе данных или его законном представителе, позволяющие надлежащим образом их идентифицировать;
• основная информация об операторе;
• перечисление точных сведений, входящих в состав персональных данных, цель обработки, конкретные действия и шаги, которые при этом будет реализовывать оператор;
• данные третьего лица, производящего обработку персональных данных по требованию оператора;
• длительность обработки;
• способы отмены данного ранее согласия;
• подпись человека, сообщающего данные о себе.

Условия для обработки данных

Использование личной информации, производимое в соответствии с законными принципами и в надлежащем порядке, допускается в определенных случаях:

• при наличии согласия человека, к которому данные относятся;
• во исполнение законодательства РФ и международных правовых актов, также исполнительного производства, во исполнение вступивших в силу судебных или иных подлежащих исполнению по закону актов уполномоченных органов власти;
• для выполнения условий договора или соглашения;
• с целью незамедлительных действий для защиты жизни, здоровья и личных интересов физического лица, реализации общественно значимых интересов;
• в статистических, научных и иных исследовательских целях, а также для реализации профессиональной деятельности работников СМИ;
• если осуществляется обработка общедоступной информации либо сведений, подлежащих раскрытию и опубликованию в соответствии с законодательством.

Ответственность перед физическим лицом, сведения о котором публикуются третьими лицами, несет сам оператор.

Условия передачи и хранения

Понятие использования личных данных физических лиц включает в себя широкий спектр любых манипуляций с персональными данными, в том числе их хранение, аккумуляцию и дальнейшую передачу и любые другие виды использования. Оператору необходимо всевозможными способами обеспечить защиту порученной ему информации от утери и ее незаконного использования сторонними лицами.

В данной деятельности используют как бумажные носители, так и электронные средства учета . В каждой организации, выступающей в качестве оператора, должен быть разработан внутренний документ о хранении и обработке персональных данных, обычно он называется положением или правилами. В нем указываются конкретные методы, используемые в данной организации, а также круг лиц, допущенных к обработке персональных данных, права и обязанности этих людей.

Права работников в вопросах обработки персональных данных

Операторы, осуществляющие любые виды деятельности с данными личного характера, должны руководствоваться в своей деятельности в том числе и трудовым законодательством. Прежде всего, каждый работник организации вправе знать какие именно характеризующие его данные стали известны работодателю, а также иметь свободный и беспрепятственный доступ в любое время к этим данным.

Работник может затребовать от своего руководства корректировки неточностей и ошибок в персональных данных , их уточнения при необходимости, в том числе если функция обработки данных передана оператором третьим лицам. Сотрудник, кроме того, может назначить представителя для осуществления действий по защите своих личных данных в порядке, установленном в законе.

Если имело место нарушение или ущемление в любой форме прав работника, он вправе обратиться для защиты своих интересов в правоохранительные органы.

Таким образом, обработка, передача и хранение персональных данных физических лиц должна осуществляться в четком соответствии с нормами законодательства, нарушение которых может повлечь привлечение виновных лиц к ответственности, в том числе уголовной.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

В закладки

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

Физическое лицо: предупреждение или штраф в размере 1 000 - 3 000 рублей;

Должностное лицо: штраф в размере от 5 000 - 10 000 рублей;

Юридическое лицо: штраф в размере 30 000 - 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

Физическое лицо: штраф в размере 3 000 - 5 000 рублей;

Должностное лицо: штраф в размере от 10 000 - 20 000 рублей;

Юридическое лицо: штраф в размере 15 000 - 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

Физическое лицо: штраф в размере 700 - 1 500 рублей;

Должностное лицо: штраф в размере от 3 000 - 6 000 рублей;

Индивидуальный предприниматель: штраф в размере от 5 000 - 10 000 рублей

Юридическое лицо: штраф в размере 15 000 - 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться “Д”, это от слова description):

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим [email protected] - не относится к ПД, однако электронная почта с рабочим адресом допустим, [email protected] с подписью в письме “Главный инженер” - относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации “Ромашка”.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека - и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите - это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом.

Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД - наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и “размываете” их в море других данных, соответственно определить кому что принадлежит - невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги - нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица - вы должны получать его согласие и иначе никак - закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы - индивидуальный предприниматель - вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах - относится не только к работе с потребителями, но и с работниками.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор - “галочек”:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” устанавливает обязательство собирать персональные данные:

“4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью...”.

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

“Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

- политика обработки персональных данных;

- приказ об утверждении вышеуказанной политики;

- согласие на обработку персональных данных;

И зачем всё это вообще?

Для чего же это вообще нужно? Зачем нужно беспокоиться о персональных данных и о получении согласия пользователя на их обработку?

Конечно, это прежде всего административная (штрафы, блокировка) и гражданская (причинение вреда) ответственность - такие вещи могут очень серьёзно повлиять на бизнес. Но есть ещё такая штука как частная жизнь граждан, как злоупотребление правом и недобросовестная реклама продавцов. Я на 100% уверен, что каждый из нас не любит, когда на телефон приходит спам, реклама, а посередине ночи будит смс или звонок с просьбой “срочно перевести деньги, а то в тюрьму посадят”. А всё это происходит из-за ненадлежащего исполнения лицами, осуществляющими сбор персональных данных, своих обязательств. И согласие на обработку ПД - всего лишь часть механизма, который должен обеспечивать нашу с вами защиту как граждан и повышать социальную ответственность. К сожалению, такие полезные институты и механизмы могут превратиться в инструмент для давления… И мы как юристы должны эффективно использовать законы и максимально обезопасить бизнес от этого.

Так что, если вы выполнили все условия и шаги из настоящей статьи, то поздравляем - вы не только уменьшили вероятность быть оштрафованным и привлеченным к ответственности (работа с ПД физических лиц лишь небольшая часть правовой политики ИТ-продукта), но и сделали шаг к социально-ориентированному Интернет-пространству, уважающему личные данные пользователей!

Спасибо за внимание!

В последнее время нам все чаще предлагают поставить свою подпись под фразой «О согласии на использование и обработку персональных данных»: в любых социальных и финансовых учреждениях, коммунальных службах, при приеме на работу. Требуют наши «добровольные согласия» сегодня в ВУЗах, школах, детских садах, поликлиниках и даже библиотеках! Не отстают магазины, гостиничные и ресторанные комплексы - для получения дисконтной карты вы обязаны заполнить и подписать анкету, где внизу мелким шрифтом обозначено ваше согласие на обработку персональных данных. Для чего это нужно: с целью безобидного учета или для превращения человека в бесправное приложение к мировой электронной системе? Давайте разбираться.

Что представляют собой персональные данные человека и кому они нужны?

Итак, понятие «персональные данные человека» включает в себя не только его имя, отчество, фамилию и адрес регистрации, как мы привыкли понимать. Это полностью вся информация, которая прямо или косвенно касается конкретного физического лица: биометрические данные, сведения о состоянии здоровья и физиологические особенности, национальность, вероисповедание, состав семьи, наличие судимости, информация о сфере занятости, финансовые доходы и прочее.

В 2005 году Россия утвердила Конвенцию Совета Европы «О защите физических лиц при автоматической обработке персональных данных». После чего был принят Федеральный закон (ФЗ-№152) «О персональных данных», основные положения которого повторяет вышеуказанный международный акт. Большая часть людей думает, что закон предусматривает защиту личных данных человека. Но так ли это на самом деле?

Особенно настораживает в документе такое понятие как «автоматическая обработка данных», которое предусматривает как накопление и хранение данных личности, так и передачу их третьим лицам и использование в различных целях. Право выполнять эти действия принадлежит так называемому оператору, выступать в роли которого могут юридические или физические лица, государственные структуры, коммерческие организации.

Но главным нашим оператором является коммерческая структура ОАО «Универсальная электронная карта». Именно она обладает правом определять состав персональных данных, цели их обработки и совершать над ними любые действия.

Что скрывается за понятиями «использование» и «обработка» персональных данных?

Казалось бы, зачем больницам, учебным заведениям, ЖЭКам, работодателям стало необходимо предоставлять такую полную информацию о себе, своей семье, материальном положении, если совсем недавно еще не было этой надобности? Такой жестких сбор всех личных данных начался с принятием Федерального закона № 210 «Об организации предоставления государственных и муниципальных услуг», после чего во всю и заработали ранее принятый закон «О персональных данных».

Кому это нужно? Безусловно, не социальным и коммерческим структурам - они только инструмент для сбора информации. Все данные будут фиксироваться непосредственно у главного оператора - ОАО «УЭК», который планирует в скором времени обеспечить всех граждан электронными документами и запустить активную тщательную обработку каждого человека.

А что подразумевается под словом «обработка» и «использование»? Граждане понимает под этим понятием банальный сбор и хранение информации. А на что на самом деле соглашается человек?

В п. 3 ч. 1 ст. 3 ФЗ № 152 это обозначено следующим образом:

«Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), ОБЕЗЛИЧИВАНИЕ, БЛОКИРОВАНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.»

Таким образом, люди добровольно передают в чужие руки разрешение распоряжаться своей личной жизнью. Теперь главный оператор, в будущем обеспечив вас электронным биометрическим документом, будет обладать всей полной информацией, касающейся вашего здоровья, наличия родственников, социальных выплат, совершенных сделок, налогах, хозяйственных покупок и даже передвижения! И, если вы, как обладатель универсальной электронной карты, будете не согласны с некоторыми действиями оператора, тогда все ваши данные он может просто заблокировать или вовсе уничтожить, как полноправный хозяин вашей персональной информации. Вы ведь заранее согласились на возможность применения к себе подобных мер!

Как это работает уже сегодня?

Активный процесс по обработке персональных данных только начинает внедряться в нашу повседневную жизнь, но некоторые граждане уже успели почувствовать на себе последствия таких законных действий.

Так, обязательное согласие на обработку персональных данных требуют некоторые образовательные учреждения страны.Согласно комментариям студентов, в случае отказа давать свое согласие, их просто не допустят к экзаменам и не выдадут дипломы.

Также обстоят дела и с частью государственных лечебных заведений, где гражданин обязан предоставить больнице не только информацию о здоровье и номер медицинского полиса, но и страховой номер индивидуального лицевого счета в Пенсионном фонде (СНИЛС) - основной ключ доступа к информационным базам ОАО «УЭК». В бланке «Согласие пациента на обработку персональных данных» существует пометка, что в случае отказа в согласии, клиника вправе отказать в медицинских услугах пациенту.

То же касается любых других государственных и коммерческих учреждений, требующих от своих клиентов обязательное согласие на обработку и использование персональной информации, аргументируя это необходимостью бухгалтерского, кадрового или воинского учета. Как себя вести в таких ситуациях — читайте далее.

Как быть, если работодатель настаивает на подписании разрешить использовать вашу личную информацию и имеет ли он на это право?

Согласно закону, любые действия, касающиеся персональной информации сотрудника, могут осуществляться только с его согласия в письменном виде. Работодатель обязан довести под роспись будущему сотруднику, с какой целью и в каком порядке будут храниться и использоваться предоставленные им сведения, а также о возможности отказаться либо в будущем написать отзыв своего согласия на обработку персональных данных.

Согласно ст. 5.27 и ст. 5.39 КоАП России предусматривается административная ответственность за нарушение норм хранения и обработки личных данных работников. В случае нарушения законодательства руководство компании обязано возместить материальный ущерб сотруднику за незаконное использование его персональной информации.

Если вы по незнанию когда-то подписали разрешение на использование ваших личных данных, то теперь знайте, что имеете право его отозвать. Отзыв может быть составлен в свободной форме, но с обязательной ссылкой на действующие законы. Предлагаем образец такого заявления:

Генеральному директору ООО ___________
От ________________
Зарегистрированного по адресу:
___________________________
Паспортные данные: ________

Отзыв согласия
на обработку персональных данных

Я, ФИО, в соответствии с ч. 1 ст. 9 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» отзываю у Общества с ограниченной ответственностью «_________» согласие на обработку моих персональных данных.
Прошу прекратить обработку моих персональных данных в течении тридцати рабочих дней с момента поступления настоящего отзыва.

Дата. Подпись.

Некоторые юристы считают, что отзыв на обработку персональных данных ничего не решает, ведь к моменту его написания все информация о человеке уже занесена в нужные электронные базы для дальнейшего использования. Но, по крайней мере, вы выполните свой долг с позиции православного христианина, и, возможно, притормозите процесс дальнейшего обновления ваших личных данных.

Как законно отказаться от сбора персональных данных в детских садах и школах?

В последнее время большую тревогу забили родители, ведь администрация дошкольных и общеобразовательных учреждений фактически принуждает их подписывать согласие на обработку и использование персональной информации о ребенке и членах его семьи. Это получается, что вы должны добровольно отказаться от права на неприкосновенность вашей частной и семейной жизни? Ведь автоматическая обработка персональных данных предусматривает передачу собранной информации третьим лицам без ограничений.

Помните, что давать или не давать свое согласие - это ваше право, а не обязанность. Ниже мы приводим пример заявления об отказе предоставления личных сведений о ребенке для дальнейшей их обработки:

В администрацию школы/детского сада №
от__________________________________

ЗАЯВЛЕНИЕ

Я, ____________________________________, являясь законным представителем своего ребенка _________________________________ , заявляю о своем категорическом отказе предоставлять те или иные сведения о частной жизни моего ребенка или моей семьи в соответствии с пунктом 1 статьи 23 Конституции РФ («Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»).
Также я запрещаю использовать в отношении моего ребенка любые психологические тесты и опросы, запрещаю принуждать моего ребенка к участию в этих тестах и опросах, запрещаю любой сбор информации о разнообразных сторонах жизни моего ребенка и моей семьи. Считаю необходимым известить вас, что нарушение вами моего запрета подпадает под пункт 2 статьи 137 Уголовного Кодекса РФ («Нарушение неприкосновенности частной жизни с использованием своего служебного положения») с учетом статьи 63 УК РФ («Обстоятельства, отягчающие наказание»).
Пользуясь случаем, считаю своим долгом заявить о своем убеждении, что все действия по сбору информации о детях, родителях и их семьях, в конечном итоге, направлены на разрушение института семьи в нашей стране, что является антигосударственным деянием.

«____» «_______________________» 20___г. _____________________
(Личная подпись)

Безусловно, следует понимать, что школе необходимо иметь базовую персональную информацию о каждом учащемся с целью организации воспитательно-образовательного процесса. По закону, в момент нахождения детей в школе, за них несет ответственность администрация этого учебного учреждения. Поэтому, если уж возникла необходимость передать конкретные сведения о ребенке, то оформите этот процесс грамотно, используя приведенный пример заявления:

Образец согласия на обработку персональных данных школой, который не создает опасности нарушения прав семьи.

СОГЛАСИЕ ЗАКОННОГО ПРЕДСТАВИТЕЛЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕСОВЕРШЕННОЛЕТНЕГО

Я, ______________________________________________________________(ФИО),
проживающий по адресу ____________________________________________________________, Паспорт № _________________________ выдан (кем и когда) _____________________________
______________________________________________________________________________
являюсь законным представителем несовершеннолетнего ____________________________________ (ФИО) на основании ст. 64 п. 1 Семейного кодекса РФ.
Настоящим даю свое согласие на обработку в ГОУ СОШ № ________ персональных данных моего несовершеннолетнего ребенка _____________________________, относящихся исключительно к перечисленным ниже категориям персональных данных:

• данные свидетельства о рождении;
• данные медицинской карты;
• адрес проживания ребенка;
• оценки успеваемости ребенка;
• учебные работы ребенка.

Я даю согласие на использование персональных данных моего ребенка исключительно в следующих целях:

• обеспечение организации учебного процесса для ребенка;
• ведение статистики.

Настоящее согласие предоставляется на осуществление сотрудниками ГОУ СОШ № ____ следующих действий в отношении персональных данных ребенка: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование (только в указанных выше целях), обезличивание, блокирование (не включает возможность ограничения моего доступа к персональным данным ребенка), уничтожение. Я не даю согласия на какое-либо распространение персональных данных ребенка, в том числе на передачу персональных данных ребенка каким-либо третьим лицам, включая физические и юридические лица, учреждения, в том числе внешние организации и лица, привлекаемые ГОУ СОШ № ______ для осуществления обработки персональных данных, государственные органы и органы местного самоуправления. Я даю согласие на обработку персональных данных ребенка только неавтоматизированным способом и не даю согласия на их обработку автоматизированным способом.
Обработку персональных данных ребенка для любых иных целей и любым иным способом, включая распространение и передачу каким-либо третьим лицам, я запрещаю. Она может быть возможна только с моего особого письменного согласия в каждом отдельном случае.
Данное Согласие действует до достижения целей обработки персональных данных в ГОУ СОШ № ______ или до отзыва данного Согласия. Данное Согласие может быть отозвано в любой момент по моему письменному заявлению.
Я подтверждаю, что, давая настоящее согласие, я действую по своей воле и в интересах ребенка, законным представителем которого являюсь.

Дата: __.__._____ г.
Подпись: ________________________ (______________________)

Как правильно написать отказ на обработку персональных данных?

Как мы уже выяснили, целью автоматизированного учета личной информации граждан является не гарантия прав людей, а исключительная власть над ними. Так происходит очередной этап построения системы управления человеком.

В феврале 2014 года на сайте Московской Патриархии была опубликована информация об обращении Патриарха Московского и всея Руси Кирилла к Президенту Российской Федерации Владимиру Путину с просьбой принять законодательные меры, которые обеспечивали бы право человека на использование традиционных удостоверений личности и способы их учета на бумажных носителях, а также предоставить правовые гарантии существования, технического оснащения и финансирования традиционной системы учета.

Администрация Президента Российской Федерации направила ответ на обращение Патриарха следующего содержания:

«...Разделяя Вашу озабоченность по вопросу нежелания некоторой части российских граждан получать другой вид паспорта - документ нового поколения, содержащий электронные носители информации, полагаю возможным отметить, что любые формы принуждения людей к использованию электронных идентификаторов личности, автоматизированных средств сбора, обработки и учета персональных данных, личной конфиденциальной информации недопустимы...».

Еще давно православные Старцы и священнослужители предупреждали о том, что людей будут обольщать с помощью «многохитростной лжи и чудовищного обмана».

Если вы желаете самостоятельно распоряжаться своей жизнью, а не давать это право чужим лицам, то вместо подписания согласия на обработку своих персональных данных советуем оформить заявление, образец которого представлен ниже:

ЗАЯВЛЕНИЕ

об отказе подписать «Согласие на обработку персональных данных»
(на основании ст. Конституции РФ 2, 3, 15, 18, 23, 24, статьи 12 ГК РФ)

................................................................... мне было предложено подписать бланк «Согласие на обработку
(дата)
персональных данных» для..................................................................................................................................................................
(указать для чего получается «Согласие»)
Я не даю согласие на обработку моих персональных данных по следующим основаниям:
1. Обязательное получение согласия на обработку персональных данных при........................

(указать: предоставлении медицинской помощи, выплате пособия, оформлении сделки и др.)
...................................................................................................................................................
противоречит Конституции РФ,гарантирующей гражданам данное право без каких-либо условий. В соответствии со статьями 2, 15, 18 права и свободы человека - высшая ценность, Конституция РФ имеет высшую юридическую силу и прямое действие.
2. Согласие на обработку моих персональных данных (персональных данных моих детей
..........................................................................................................................................................................
(указать, если такие имеются)
..........................................................................................................................................................................
противоречит моим интересам и интересам моей семьи.
В соответствии со статьей 9 Федерального закона №152-ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
В соответствии с законом №152-ФЗ персональные данные - это любая информация, относящаяся к физическомулицу. Понятие «обработка» включает в себя любые действия оператора с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ, в том числе передачу третьим лицам и трансграничную передачу), обезличивание, блокирование, удаление, уничтожение персональных данных.
В 2009 году в №152-ФЗ «О персональных данных» были внесены изменения, отменившие обязанность операторов по криптографической (шифровальной) защите персональных данных.
При использовании персональных данных оператор обладает правом принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц как субъектов персональных данных.
Получая согласие человека на обработку персональных данных - любой информации обо мне и моей семье - оператор становится их полным хозяином.
Формальная фраза бланка о праве отозвать согласие на обработку персональных данных ничего не решает, поскольку оператор к моменту отзыва «Согласия» уже имеет возможность использовать свои полномочия в полном объеме.
Согласие на обработку персональных данных делает человека потенциальным объектом любых криминальных манипуляций, так как никто не несет ответственности за нравственное состояние операторов.
3. Получение согласия «на обработку персональных данных - любой информации о человеке» нарушает положения статей 23, 24 Конституции РФ, гарантирующей гражданам право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
4. Предложенный мне бланк «Согласия» нарушает принципы статьи 5 «Принципы обработки персональных данных» №152-ФЗ «О персональных данных»: о недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; об обработке только тех персональных данных, которые отвечают целям их обработки; о соответствии содержания и объема обрабатываемых персональных данных заявленным целям обработки; о недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки.
На основании изложенных доводов, я отказываюсь от дачи согласия на такую обработку моих персональных данных (персональных данных моих детей) и прошу обеспечить соблюдение моих конституционных прав и свобод. Мои персональные данные, необходимые для внутреннего использования в Вашем распоряжении уже имеются.
Я был(а) предупрежден(а), что в случае отказа подписать «Согласие» мне будет...............................................................................................................................................................
(последствия отказа подписать «Согласие»)
В случае реализации данной угрозы, прошу дать мне аргументированный письменный ответ, который мне будет необходим для обжалования неправомерных действий должностного лица (служащего) и возмещения материального и морального ущерба.

С уважением,
"____" _____________ 20___ года

Сейчас никакая деятельность не обходится без информации. В каждой организации хранятся сведения о работниках, партнерах, клиентах. Несанкционированный доступ к ним приводит к их потере или изменению, что отрицательно влияет на деятельность фирмы. Цели обработки персональных данных в организациях одинаковые, поскольку это закреплено законом. Об этом рассказано в статье.

Что означает обработка

Каждый человек может ознакомиться со сведениями о другом гражданине как при исполнении рабочих обязанностей, так и при нерабочем общении, при просмотре интернет-страниц, чтении газеты. Такой сбор информации не считается обработкой. Это просто ознакомление со сведениями.

Если же личная информация специально собирается для использования, хранения, то это будет обработка персональных данных. Этот процесс наблюдается в учебных заведениях, больницах. Сведения регистрируют, вносят в базы, классифицируют для использования в законных целях. Если информацию собирает писатель, журналист, то он может использовать ее для творческих целей.

Способы обработки

Личные сведения обрабатывают 2 способами:

1. Автоматизированно.
2. Неавтоматизированно.

Второй вариант предполагает обработку, выполняемую с участием гражданина. Если это происходит без средств автоматизации, то данные нужно отделять от остальных сведений. Это выполняется с помощью отметки, например, на полях бланков. Запрещено размещать на единый носитель личную информацию, если известно, что цели обработки персональных данных несовместимы.

Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты:

1. Личные сведения, находящиеся в системе персональных данных, могут быть обработанными благодаря неавтоматизированному процессу, если их использование выполняется с личным присутствием человека.
2. Нельзя утверждать, что данные обрабатываются автоматизированно, если учитывать, что они находятся в информационной системе персональной информации.

Автоматизированная обработка выполняется с использованием вычислительных средств. Обработкой называют все действия, которые выполняются с предоставленными данными. В этот процесс входит сбор, фиксирование, использование, уничтожение.

Цели

Цели обработки персональных данных в организации одинаковые. Сведения нужны для:

1. Заключения, исполнения, прекращения договоров в случаях, предусмотренных законом и Уставом организации. Такие сделки могут происходить с гражданами, ИП, юридическими лицами.
2. Кадрового учета предприятия, соблюдения норм закона, заключения и исполнения обязательств по соглашениям.
3. помощи сотрудникам в трудоустройстве, обучении, использовании льгот.
4. Исполнения норм налогового законодательства по поводу уплаты налогов и передачи в ПФР персональных данных.
5. Заполнения статистических документов на основе норм закона.

Каждая цель обработки персональных данных в организации обязательна для исполнения, поскольку это закреплено законом. Именно поэтому во всех учреждениях необходимы сведения о работниках, клиентах, партнерах. Цели обработки персональных данных позволяют вести деятельность законным способом.

Правила и порядок

О своих сотрудниках руководитель должен получить следующую информацию:

1. Образование.
2. Опыт работы, прежняя должность.
3. Данные о семье и их работе.
4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам:

1. Обрабатывать сведения на основе норм закона, помогать в трудоустройстве, содействовать в обучении и повышении в карьере, контролировать качество выполняемых поручений.
2. Личные сведения предоставляются сотрудником. Если по какой-то причине их нельзя получить от работника, а только от третьего лица, необходимо получить письменное согласие на разглашение информации.
3. Кадровый сотрудник не может самостоятельно пользоваться сведениями о религиозной направленности или профсоюзной деятельности, если это не относится к работе. Если эта информация касается рабочих отношений, то нужно письменное разрешение.
4. Контролирует сотрудников кадрового отдела, а также исполнение ими данных правил руководитель.
5. Все работники должны расписаться, подтверждая, что ознакомлены с правилами регламента.

Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем. Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Принципы

Важно знать не только цели сбора и обработки персональных данных, но и принципы. Они указаны в ст. 5 гл. 2 ФЗ №152:

1. Важно соблюдение законности и добросовестности целей и методов обработки.
2. Соответствие целям, заявленным при сборе.
3. Соответствие объема и характера обрабатываемой информации, методов целям.
4. Достоверность сведений.
5. Недопустимость объединения баз для несовместимых целей.
6. Хранение в форме, которая позволяет определить субъекта данных, причем не дольше, чем этого требуют цели. Потом их уничтожают.

Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

1. Выполнение обработки с разрешения субъектов.
2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется. Это происходит тогда, когда:

1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
2. Все выполняется для исполнения договора.
3. Требуется выполнение статистических и других научных целей.
4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
5. Выполняется доставка почтовых отправлений.
6. Осуществляется профессиональная деятельность журналиста.
7. Происходит обработка информации, подлежащей опубликованию на основе закона.

Согласие

Чтобы защитить человека от нежелательного использования сведений о нем, требуется его согласие на обработку персональных данных. Цель обработки должна быть законной, а в остальных случаях это делать запрещено. Согласие предоставляется с устройством на работу, оформлением банковского счета и при других важных сделках.

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием. Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Ответственность организации

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации. Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

1. Руководители кадрового отдела.
2. Кадровые инспекторы.
3. Руководители по персоналу.
4. Заместители руководителей по персоналу.
5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

Передача и хранение

Хранение документации с личной информацией о работниках осуществляется в огнеупорных шкафах или сейфах. Ключи от них должны быть у директора кадрового отдела. Если он отсутствует, то этим заведует заместитель. При необходимости передачи личных сведений работника кадровый сотрудник должен помнить о следующих правилах:

1. Запрещено передавать третьим лицам личные сведения без письменного разрешения. Исключением считаются случаи, когда данные требуются для предотвращения вреда здоровью и в ситуациях, закрепленных законом. Также запрещено разглашать информацию в коммерческих целях без согласия.
2. Если нужно передавать данные работников, то необходимо оповестить тех, для кого применяется эта информация, что сведения можно использовать только для целей запроса.
3. Кадровый сотрудник может использовать только ту информацию, которая необходима для исполнения рабочих обязанностей.
4. У кадрового работника нет права выяснения сведений о состоянии здоровья сотрудника.

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Ответственность

Если работниками нарушен порядок сбора, обработки, выдачи сведений, то они несут дисциплинарную и уголовную ответственность по закону. В ст. 5 ФЗ сказано, что личная информация, собираемая для обработки автоматизированными принципами или другими средствами, должна производиться в таком виде, чтобы можно было установить субъекта данных.

Определение субъекта не может быть длительнее, чем это требуется для обработки. Если она выполнена, то некоторое время персональные данные уничтожать нельзя. Персональные данные сотрудников хранятся в учреждении 75 лет. Таким образом, на каждом предприятии должны соблюдать правила хранения и обработки информации.