Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные: подробное руководство и шаблоны документов». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
- Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
- Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Согласие работника на обработку персональных данных
Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.
Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).
Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.
В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).
Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).
Настоятельно рекомендуем включить в него следующую информацию:
- цели получения персональных данных работника у третьих лиц;
- предполагаемые источники информации (лица, у которых будете запрашивать данные);
- способы получения данных, их характер;
- возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.
Как получить согласие на обработку персональных данных
Обработка ПД – любые действия с личной информацией о человеке:
- получение (сбор персональных данных);
- структуризация;
- хранение на любых носителях (в электронных и бумажных архивах);
- анализ;
- использование в коммерческой, социальной, государственной деятельности;
- передача другим владельцам или предоставление доступа к базе;
- обезличивание – устранение очевидной связи между человеком и его ПД;
- блокировка – временная остановка работы с информацией по запросу граждан или регулятора;
- удаление и обновление;
- ликвидация без возможности восстановления.
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.
Если вы оператор-коммерсант
В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:
- разработать и утвердить локальный нормативный акт, который определит не только способы обработки и условия хранения полученных персональных данных, но и цели, для которых вам таковые необходимы; при этом отдельное внимание надо уделить уничтожению полученной информации и обезличиванию;
- при разработке методов и способов защиты персональных данных, обрабатываемых в информационных системах, придется особенно активно поработать с классификацией информационных систем, исходя из состава персональных данных, к которым такой оператор получает доступ, основываясь на приказе ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- в случае если при обеспечении защиты персональных данных в информационных системах будут применяться средства защиты с использованием шифрования (криптографии), то необходимо учитывать, что на основании статьи 17 Закона «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ ряд видов деятельности, связанных с обеспечением конфиденциальности информации, подлежат лицензированию;
- в статье 22 закона «О персональных данных» закреплена обязанность за каждым оператором, который выступает в качестве такового, не только в связи с трудовыми отношениями, по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) о своем намерении осуществлять обработку персональных данных до начала их обработки. После такого уведомления в течение 30 дней оператор будет включен в реестр операторов. Однако этим же законом установлены случаи, в которых уведомление о предполагаемой обработке персональных данных не требуется.
В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей. Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
1.1. Психологические данные, полученные посредством психодиагностического обследования, а также данные, включающие в себя сведения о фактах, событиях, обстоятельствах личной жизни и состоянии здоровья профессиональных контингентов МЧС России, ставшие известными специалистам психологической службы МЧС России в ходе реализации мероприятий по психодиагностическому обеспечению в МЧС России, относятся к персональным данным.
1.2. Специалисты психологической службы МЧС России в ходе выполнения профессиональных обязанностей имеют право производить действия (операции) с персональными данными в части касающейся, включающие в себя сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в установленном порядке, обезличивание, блокирование, уничтожение.
1.3. Действия (операции) с персональными данными должны осуществляться на основе принципов:
— законности целей и способов действий (операций) с персональными данными и добросовестности;
— соответствия целей действий (операций) с персональными данными целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям специалистов психологической службы МЧС России;
— соответствия объема, характера обрабатываемых персональных данных и способов их обработки целям действий (операций) с персональными данными;
— достоверности и научной обоснованности персональных данных, их достаточности для целей действий (операций) с персональными данными;
— недопустимости действий (операций) с персональными данными, избыточными по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
1.4. Персональные данные, полученные специалистами психологической службы МЧС России посредством психодиагностических обследований профессиональных контингентов МЧС России, предназначены для служебного пользования, не подлежат разглашению и публичному распространению.