Правовое обоснование обработки персональных данных в организации

Полезная информация по теме: "Правовое обоснование обработки персональных данных в организации". Здесь собрана и обработана имеющаяся информация по теме. Мы постарались приподнести ее в удобном и понятном виде. Если у вас возникнут вопросы, просьба задавать их нашему дежурному консультанту.

Способы обработки персональных данных в организации

Закон об обработке персональных данных в организации

Исключением могут быть такие обстоятельства, которые имеют отношение к вопросу о выполнении трудящимся своих должностных обязанностей. Если какие-либо работники будут уличены в нарушениях порядка сбора, обработки и выдачи личных данных работника организации, то данные лица понесут дисциплинарную и уголовную ответственность согласно Федеральному законодательству.

В статье 5 ФЗ говорится что, личные данные, которые собирают для их обработки принципами автоматизации, либо с использованием других средств, необходимо производить в таком виде, чтобы благодаря ему можно было вычислить субъекта этих данных. При этом определение субъекта не должно быть продолжительнее, чем это нужно для обработки.

И, если обработка была произведена, то уничтожению персональные данные не подлежат определенное время.

Организация защиты персональный данных в организации по ФЗ № 152-ФЗ — О персональных данных

18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Принципы, условия и цели и обработки персональных данных

Личные сведения обрабатывают 2 способами: Если личные сведения граждан относят к разным категориям, то нужно для каждого вида использовать индивидуальный носитель. Какие системы можно отнести к автоматизированным, а какие не являются ими? Это раскрывают следующие факты: Автоматизированная обработка выполняется с использованием вычислительных средств.

Обработкой называют все действия, которые выполняются с предоставленными данными.

В этот процесс входит сбор, фиксирование, использование, уничтожение. Цели обработки персональных данных в организации одинаковые. Сведения нужны для: О своих сотрудниках руководитель должен получить следующую информацию:

  1. Образование.
  2. Опыт работы, прежняя должность.
  3. Данные о семье и их работе.
  4. Сведения о здоровье.

При обработке информации работников специалисты кадрового отдела должны следовать нескольким правилам: Цели обработки персональных данных по закону №152 обязательны для исполнения каждым работодателем.

Исходя из ст. 22, руководитель может совершать действия с личными сведениями сотрудников без оповещения Роскомнадзора.

Важно знать не только цели сбора и обработки персональных данных, но и принципы.

Они указаны в ст. 5 гл. 2 ФЗ №152: Цели обработки персональных данных работника достигаются с помощью условий, указанных в ст. 6 гл. 2:

  1. Выполнение обработки с разрешения субъектов.
  2. Если это поручено на основе договора другому лицу, то важно соблюдение конфиденциальности.
  3. Обработка особой информации в специальном порядке.

Есть несколько исключений, когда разрешение субъекта не требуется.

Это происходит тогда, когда:

  1. Процедура осуществляется на основе ФЗ, который устанавливает ее цель, условия, круг субъектов, информация о которых подлежит обработке.
  2. Все выполняется для исполнения договора.
  3. Требуется выполнение статистических и других научных целей.
  4. Необходима защита жизни, здоровья, жизненно необходимых интересов, если получить разрешение невозможно.
  5. Выполняется доставка почтовых отправлений.
  6. Осуществляется профессиональная деятельность журналиста.
  7. Происходит обработка информации, подлежащей опубликованию на основе закона.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Единой формы разрешения нет. Его составляют в свободной форме на бланке, используемом предприятием.

Срок, на протяжении которого разрешение действует, обозначается в самом документе. Там же указываются цели обработки персональных данных в организации.

Специалиста, ответственного за получение, обработку, хранение личных сведений, назначает директор учреждения. Также он определяет лиц, которым открыт доступ к информации.

Документ нужно оформить приказом. Обычно за обработку сведений отвечают:

  1. Руководители кадрового отдела.
  2. Кадровые инспекторы.
  3. Руководители по персоналу.
  4. Заместители руководителей по персоналу.
  5. Специалисты по работе с персоналом.

Основываясь на ФЗ №152, работник, выполняющий сбор и обработку личных данных, является оператором. Им и является руководитель. Цели обработки персональных данных в образовательном учреждении такие же, как и в организациях.

[3]

Исключением считаются обстоятельства, имеющие отношение к вопросу выполнения работниками своих обязанностей.

Обработка персональных данных

В соответствии с ч.

2 ст. 85 ТК РФ обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. К принципам обработки персональных данных указанный Закон относит следующие:

Защита персональных данных работников

К анкетным данным относятся: Кроме того, анкета соискателя должна содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

Особенности сбора и обработки персональных данных в Российской Федерации

Внедрить в организации технические средства защиты, согласно разработанной документации.

Основные методы и способы защиты данных от несанкционированного доступа в случае взаимодействия информационно-телекоммуникационных сетей международного информационного

Способы обработки персональных данных в организации

Практическая защитаперсональных данных Итак, Вы наконец то решили «разобраться» с защитой персональных данных в Вашей организации. С чего же начать?! В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации.

Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации. В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного — подготовка документов по защите персональных данных, контроль за соблюдением требований по защите.

Читайте так же:  Признание диплома недействительным срок исковой давности

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации. Напомним, что персональные данные – это любая информация о людях.

Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.

Субъект персональных данных — это человек, персональные данные которого Вы обрабатываете.

Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера. Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью. Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите.

© 2019 «Практическая защита персональных данных»

Правовое обоснование и необходимость обработки персональных данных в организации

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией.

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Выделяют следующие цели обработки персональных данных в организации:

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке. Персональные данные делятся на 3 категории: В обязательном порядке устанавливается срок действия согласия на обработку персональных данных.

Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст.

9 ФЗ №152. Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий.

В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Закон о персональных данных: последствия для делопроизводства

Данное желание законодателя привело к появлению нового для делопроизводственной практики положения: Пункт 2 статьи 5 Федерального закона РФ «О персональных данных» от 27.07. 2006 г. № 152-ФЗ Персональные данные должны храниться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки персональных данных, или утраты необходимости в их достижении.

Одним из самых неприятных для организаций, осуществляющих сбор и обработку персональных данных, является требование статьи 6 о необходимости получить согласие субъекта на их обработку.

Обработка персональных данных: с чего начать и каков порядок в организации работы? Условия по закону и инструкции

В России к обработке персональных данных предъявляют ряд требований. Компании, оперирующие информацией из данной категории, регистрируются в Роскомнадзоре в качестве операторов, а при использовании ПДн – руководствуются указанными в профильном законе принципами и правилами.

В материале мы расскажем об условиях и правилах обработки конфиденциальных сведений физлиц, предоставим инструкцию по обеспечению безопасности помещений и поговорим о порядке действий при работе с информацией из категории персональных данных.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

С чего начать?

Администрация компании, решившей обрабатывать персональные данные, должна первым делом уведомить о своих намерениях Роскомнадзор в соответствии с приказом № 706 от 19 августа 2011 года «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерениях) персональных данных» и положений Федерального закона № 152 «О персональных данных» .

Для этого оператор должен воспользоваться утвержденной формой и рекомендациями по ее заполнению. Документ направляется в территориальный орган Роскомнадзора. Если же оператор решит обойтись без уведомления регулятора, получит штраф от 3 до 5 тысяч рублей, в некоторых случаях наказания могут оказаться более суровыми – вплоть до закрытия сайта нарушившего закон предприятия.

В России действует следующая классификация:

  • Персональные данные (относящиеся к физическому лицу).
  • Специальные категории (ведомости о вероисповедании, состоянии здоровья, политических убеждениях, расовой и национальной принадлежности).
  • Биометрические сведения (физиологические и биологические особенности).

Кроме этого, оператору персональных данных следует подготовить документацию по системе, защите сведений, создать документ под названием «Политика в отношении защиты персональной информации» и предоставить физическим лицам возможность давать или не давать разрешение оператору обработку определенных сведений личного характера.

Какие способы обозначил Роскомнадзор?

Роскомнадзор выделил три основных способа обработки информации:

  • Неавтоматизированная обработка сведений конфиденциального характера.
  • Исключительно автоматизированное взаимодействие с передачей данных по сети или без нее.
  • Смешанная обработка персональных данных физических лиц.

Вторая и третья модели обращения с сведениями требуют дополнительного уточнения – какая именно сеть (если вообще предусмотрена) используется для передачи конфиденциальных ведомостей: сеть юридического лица (внутренняя) либо сеть общего пользования Интернет. От указанных выше данных будет зависеть степень защищенность системы и характер угроз.

Законодательные условия

Условиям обработки посвящена статья 6 Федерального закона «О персональных данных». Несоблюдение нижеуказанных условий может стать основанием для санкций со стороны Роскомнадзора, вплоть до отзыва разрешения на работу с ведомостями.

Читайте так же:  Приложение 4 правила перевозки грузов автомобильным транспортом
Видео (кликните для воспроизведения).

  1. Обязательным условием для оператора является согласие субъекта персональных сведений.
  2. Обработка информации физических лиц допускается для достижения целей, предусмотренных законами Российской Федерации, международными договоренностями и реализации полномочий, функций и обязанностей, возложенных на оператора (о том, каким может быть правовое обоснование для обработки ПД, мы рассказывали тут) .
  3. Допускается использование для совершения правосудия, исполнения судебного решения, акта другого органа или должностного лица, действующего в рамках законодательства Российской Федерации об исполнительном производстве. Данный пункт освобождает оператора от надобности получать согласие у субъекта, а также прекращать работать со сведениями в случае получения отзыва. Правила действуют вплоть до момента осуществления правосудия, после этого ведомости удаляются.
  4. Обработка является необходимой мерой для исполнения обязанностей федеральных властей, внебюджетных фондов, органов местного управления и других организаций, действующих на основе Федерального закона России «Об организации предоставления государственных и муниципальных услуг» № 210 от 27 июля 2010 года.

Принципы в организации работы

Статья 5 ФЗ «О персональных данных» определяет несколько основных принципов, которых должны придерживаться операторы на всех этапах работы.

  1. Справедливое и законное основание для сбора и обработки.
  2. Допускаются манипуляции со сведениями для достижения конкретных, заранее указанных целей. Использование ПДн для достижения целей, не совместимых с утвержденными ранее, запрещена (для каких целей можно использовать обработку ПД читайте тут).
  3. Базы, содержащие ПДн, собранные с разными целями, не могут быть объединены.
  4. Если в процессе сбора информации оператор получил в распоряжение сведения, не отвечающие целям обработки, он не имеет права их использовать. Намеренное получение избыточных относительно целей данных также недопустимо для оператора.
  5. Оператор берет на себя обязательства по поддержанию точности, достаточности и актуальности. Неполные и неточные данные должны быть отредактированы, уточнены или удалены.
  6. После достижения целей сбора персональной информации физических лиц, сведения должны быть переведены в обезличенную форму или уничтожены оператором.

Общий порядок действий

  1. Уведомление Роскомнадзора о намерениях начать обработку.
  2. Включение компании в Реестр операторов персональных данных.
  3. Разработка политики оператора в отношении обработки информации.
  4. Назначение ответственного за защиту ПДн лица.
  5. Подготовка документов (проекта согласия на обработку, проекта обязательств, относительно хранения сведений, внесение изменений в должностные инструкции).
  6. Реализация мероприятий по обеспечению безопасности.
  7. Сбор конфиденциальной информации.

Инструкции

По обеспечению безопасности рабочих мест

  1. Первым делом оператор должен обеспечить изоляцию места, где хранятся ПДн. Согласно положениям профильного закона, ограничение доступа является обязательным условием для организации рабочих мест сотрудников, работающих с ПДн.
  2. Работники, имеющие доступ к ПДн, должны пройти инструктаж по работе с конфиденциальной ведомостями и выполнять функции в соответствии с должностной инструкцией. Кроме этого, сохранность ПДн должна стать личной ответственностью должностных лиц оператора.
  3. Рабочее место необходимо оборудовать так, чтобы свести к минимуму возможность просмотра конфиденциальной информации третьими лицами (это следует учитывать при планировке). Стеллажи с документами стоит размещать вдоль стен, желательно, чтобы сотрудник, ответственный за обработку, имел возможность видеть их как можно чаще.
  4. В месте обработки желательно установить сейф для хранения.
  5. Если обработкой занимается несколько человек, столы следует устанавливать на расстоянии от 1,2 метра, дабы исключить случайное прочтение ПДн, или воспользоваться искусственными перегородками, высотой 1,5-2 метра.
  6. Сотрудника желательно обеспечить специализированным инструментарием (лотками для корреспонденции) для эффективного использования свободного пространства на столе.

По хранению информации

При обработке важно придерживаться принципов и условий работы с такой информацией.

  1. Оператор должен обеспечить сохранность сведений, ограничить доступ третьих лиц, однако сделать возможным беспрепятственное ознакомление с ними ответственных лиц.
  2. Передавать данные следует по зашифрованным каналам (если речь идет об электронной системе).
  3. Персональные данные должны храниться отдельно и быть разгруппированными согласно целям сбора. Не допускается использование одного физического или электронного носителя для ПДн, которые были собраны в разное время для удовлетворения разных целей.
  4. Оператору необходимо вести учет данных, который включает в себя следующие параметры:
  • наименование;
  • тип;
  • емкость (количество страниц или мегабайт);
  • дата сбора;
  • ФИО ответственного лица;
  • физическое нахождение носителя.
  • Также требуется разработать «Регламент хранения информации», организовать пропускную систему к помещению и установить благоприятный для выбранного носителями микроклимат (температура, влажность), дающий возможность длительное время им пользоваться.
  • Как видите, при работе с персональными данными следует придерживаться принципов, указанных в ФЗ «О Персональных данных» и распоряжениях Роскомнадзора. Первым делом оператор должен зарегистрироваться у регулятора, затем разработать документацию по работе с ПДн и только затем начинать обработку, придерживаясь принципов и правил.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Основные аспекты правомерности обработки персональных данных в трудовых отношениях

    Подавляющее большинство из нас состоит в трудовых отношениях и оставляет свои персональные данные работодателям для ведения кадрового учета. Работодатель, в свою очередь собирает такие данные и ведет их обработку. Казалось бы, стандартная ситуация. Но, в связке с ФЗ-152 «О персональных данных», все становится не так очевидно.

    Какие основания для правомерной обработки есть у работодателей?

    Трудовые отношения у нас регулируются Трудовым кодексом РФ, основываясь на его требованиях и рассмотрим различные аспекты отношений работодателя с работниками и/или соискателями.

    Соискатели

    Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.

    Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

    Читайте так же:  Хранение медицинской документации в медицинской организации

    В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем.

    К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т.д.

    При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

    В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

    Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.

    В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.

    Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе.

    Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 Трудового кодекса Российской Федерации работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами Российской Федерации.

    Обязанность получения согласия также не распространяется на обработку персональных данных соискателей, подавших документы на замещение вакантных должностей государственной гражданской службы, поскольку перечень предоставляемых документов определен Федеральным законом «О государственной гражданской службе Российской Федерации» и п. 7 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112, а форма анкеты, предполагающая внесение персональных данных заявителя, утверждена распоряжением Правительства Российской Федерации от 26.05.2005 N 667-р.

    Кадровый резерв

    Ведение кадрового резерва на сегодняшний день трудовым законодательством не регламентировано. В этом случае, обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.

    Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя, реализованной на сайте организации в сети Интернет.

    Обязательным является условие ознакомления соискателя с условиями ведения кадрового резерва в организации, сроком хранения его персональных данных, а также порядком исключения его из кадрового резерва.

    Необходимо отметить, что Федеральным законом от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации» предусмотрено формирование кадрового резерва (федеральный кадровый резерв, кадровый резерв федерального государственного органа, кадровый резерв субъекта Российской Федерации и кадровый резерв государственного органа субъекта Российской Федерации). Таким образом, согласие на обработку персональных данных гражданских служащих, а также иных лиц, при ведении органом государственной власти кадрового резерва не требуется.

    «Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора»

    А согласно пункту 1 статьи 6 и статье 9 Закона о персональных данных обработка персональных данных осуществляется с согласия работника. Так что работодателю имеет смысл заранее собрать доказательства согласия работника, чтоб иметь веские доказательства, на случай возникновения споров.

    Согласие работника на обработку персональных данных должно включать:

    • Фамилию, имя, отчество, адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
    • При получении согласия от представителя работника — его фамилию, имя, отчество, адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
    • Наименование или фамилию, имя, отчество и адрес работодателя.
    • Цель обработки персональных данных.
    • Перечень персональных данных, которые подлежат обработке.
    • Фамилию, имя, отчество и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
    • Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
    • Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
    • Подпись работника.

    При получении согласия на обработку персональных данных необходимо иметь в виду, что:

    • все персональные данные работника следует получать у него самого;
    • решение работника о предоставлении своих персональных данных должно быть добровольным;
    • принимая решение о предоставлении своих данных, работник дает согласие на их обработку;
    • согласие должно быть конкретным, информированным и сознательным.
    Читайте так же:  Реорганизация казенного учреждения путем присоединения пошаговая инструкция

    Когда не требуется согласие

    Согласие не требуется и в тех случаях, когда:

    Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

    Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

    В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

    Необходимо отметить, что передача персональных данных работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:

    а) договор на выпуск банковской карты заключался напрямую с работником и в тексте которого предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
    б) наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
    в) соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ).

    5. Обработка персональных данных работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что организация пропускного режима осуществляется работодателем самостоятельно либо если указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 Трудового кодекса РФ.
    При привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан соблюдать требования, установленные ч. 3 ст. 6 Федерального закона «О персональных данных», в том числе, получить согласие работников на передачу их персональных данных.

    Уволенные работники

    Относительно обработки персональных данных уволенных работников необходимо пояснить следующее.

    Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета.

    Так, согласно подп. 5 п. 3 ст. 24 Налогового кодекса Российской Федерации установлена обязанность налоговых агентов (работодателей) в течение 4 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога.

    Статья 17 Федерального закона от 21 ноября 1996 г. N 129-ФЗ «О бухгалтерском учете» определяет, что организации обязаны хранить бухгалтерскую документацию в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но при этом минимальный срок хранения не может быть менее пяти лет.

    Таким образом, с учетом положений п. 2 ч. 1 ст. 6 Федерального закона «О персональных данных», согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.

    По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом, на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Федерального закона «О персональных данных» не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.

    Самые важные сведения о правовом обеспечении обработки персональных данных: что необходимо знать?

    Возможность осуществления большинства мошеннических действий обеспечивается доступом злоумышленников к персональной информации: от телефонных номеров и адреса места жительства до кода регистрации плательщика налогов и паспортных данных.

    [2]

    Совсем исключить возможность утечки, к сожалению, не получится, ведь предоставлять информацию о себе гражданам приходится для того, чтобы иметь возможность состоять в социально-правовых отношениях с другими лицами. Поэтому важно знать общие сведения, а именно: в каких случаях может потребоваться предоставление персональных данных (ПД) и какие на это могут быть основания.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Что это такое?

    Согласно ст. 18 и 22 ФЗ №152, правовое основание обработки ПД – неотъемлемая часть документов, сопровождающих операции с ПД. В заявлениях о сборе и уведомлениях о намерении осуществлять обработку данных отдельным пунктом обязательно должны быть указаны правовые основания.

    То же правило действует и при получении субъектом информации о работе, которая проводилась оператором с его данными: любая операция должна осуществляться на определенных основаниях.

    Каким может быть обоснование?

    В целом в юридической терминологии правовое основание – обязательное условие, без соблюдения которого отношения определенного рода между сторонами невозможны.

    В главе 2 ФЗ №152 статьёй 5 описываются общие условия: обработка должна производиться в законных и точно определенных целях, при этом ставится акцент на том, что данные должны использоваться только в том количестве, которое необходимо для достижения поставленных задач.

    Статья 6 этого же закона конкретизирует обоснования для обработки. Наиболее очевидное условие – согласие субъекта ПД в письменном виде.

    Читайте так же:  Проверка контрольно счетными палатами управления образования

    Также предусмотрен перечень оснований, при которых согласие субъекта не требуется, вот основные из них:

    • Необходимость исполнения полномочий и обязанностей оператора ПД, предусмотренных законом.
    • Участие субъекта в судопроизводстве арбитражных судов.
    • Необходимость исполнения судебных актов и полномочий органов исполнительной власти.
    • Требование к соблюдению условий договоров между лицами.
    • Защита интересов субъекта если сам он дать разрешения на обработку не может.
    • Соблюдение прав лиц, осуществивших заём денежных средств субъекту.
    • Ведение журналистской, исследовательской, творческой деятельности и соблюдение федеральных законов при условии, что действия по обработке не противоречат действующему законодательству.

    Где требуется?

    Примеров ситуаций, в которых может требоваться обработка персональных данных, достаточно много. И, как мы уже знаем, в каждом отдельном случае все действия над данными должны проводиться законно, то есть:
    1. Описаны причины, по которым необходим доступ к ПД.
    2. Четко сформулированы цели, которые планируется реализовать путем использования данных, а также перечислены категории данных и перечень планируемых действий с ним.
    3. Оформлены документы, которыми подтверждается факт обращения с ПД и назначаются лица, ответственные за их защиту.

    [1]

    Все эти требования должны соблюдаться путем уведомления оператором органа, уполномоченного вести контроль за обеспечением прав субъектов ПД. Поэтому ответ на вопрос «Где может потребоваться основание на обработку персональных данных» лучше начать с описания тех ситуаций, где такого основания не требуется. А именно:

    • Если субъект и оператор состоят в трудовых отношениях.
    • Если между субъектом и оператором заключен договор, требующий обработки ПД для исполнения условий, но при этом данные не распространяются третьим лицам.
    • Если этого требует устав общественной организации, в которой состоит субъект ПД.
    • Если субъект сам сделал информацию о себе публичной.
    • Если используются только фамилии, имена и отчества субъектов.
    • Если данные используются однократно в процессе взаимоотношений с субъектом и оператором.
    • Если данные содержатся в государственных информационных системах, либо если работа с ними проводится без применения средств автоматизации (что такое автоматизированная обработка ПД?).

    Во всех остальных случаях оператор обязан уведомлять органы контроля о намерении обработки ПД, а значит должен явно указывать на правовое основание для своих действий.

    Что может являться обоснованием?

    Важно разобраться, какого рода основания действительно могут быть признаны весомыми, а в каких они не имеют юридической силы. Наиболее очевидный пример – письменное согласие субъекта, где обозначены цели и допустимые методы обработки данных. Это – действительно веское основание.

    В иных случаях оператор волен ссылаться на основной закон, руководствуясь трудовым, административным или уголовным законодательством, а также федеральными законами, в первую очередь – упомянутым выше ФЗ «О персональных данных». При этом надо писать полное название законодательного акта и те его части, которые имеют непосредственное отношение к субъекту ПД или касаются полномочий и обязанностей оператора.

    Также в качестве основания может выступать уставная документация предприятия или общественного объединения если в ней содержится раздел, закрепляющий порядок обращения с ПД участников. При этом обязательно должны указываться серия и номер лицензии, на основании которой оператор осуществляет свою деятельность, а также пункты лицензионных соглашений и договоров.

    Достаточным условием для обработки ПД не может быть личное требование оператора или иного лица, а также пункты и положения законодательных актов, не относящихся напрямую к деятельности субъекта или лица, распоряжающегося личной информацией.

    Что писать в документе?

    Как правило, правовое основание указывается первым пунктом уведомления о намерении совершить обработку ПД или другого документа, оформление которого предусмотрено ФЗ №152. В содержании этого пункта первыми обычно указывают сам федеральный закон «О персональных данных» и Конституцию РФ.

    Далее следует перечень дополнительных оснований – законодательных и правовых актов, регулирующих отношения между оператором и субъектом ПД в соответствии с их спецификой.

    Например, если страховой компании или ООО требуется использовать ПД клиентов с целью защиты их интересов, в качестве дополнительных ссылок могут приводиться федеральные законы, регулирующие деятельность страховых компаний, ГК РФ, а также серия и номер лицензии, позволяющей вести страховую деятельность.

    Соответствующий пункт документа будет выглядеть следующим образом:

    Заключение

    Законодательство РФ в сфере защиты персональных данных хоть и не лишено изъянов, но при этом обеспечивает достаточно строгий порядок обращения с личными данными граждан. И все же гарантированное соблюдение прав субъекта персональных данных возможно лишь в том случае, если им лично будет контролироваться порядок работы оператора, который обязан обращаться с ПД исключительно на основаниях, предусмотренных законом.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    Видео (кликните для воспроизведения).

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источники


    1. История политических и правовых учений / Н.М. Азаркин и др. — М.: Норма, 2007. — 900 c.

    2. Грот, Н.Я. О нравственной ответственности и юридической вменяемости / Н.Я. Грот. — Москва: ИЛ, 2017. — 144 c.

    3. Общая теория государства и права. Академический курс в 3 томах. Том 2. Учебник. — М.: Зерцало-М, 2002. — 528 c.
    4. Ло, Реймонд Фен-Шуй и анализ судьбы; София, 2011. — 224 c.
    5. Адвокатская деятельность и адвокатура в России / Под редакцией И.Л. Трунова. — М.: Юрайт, 2016. — 528 c.
    Правовое обоснование обработки персональных данных в организации
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here