Хранение материальных носителей персональных данных

Информационная поддержка по теме: "Хранение материальных носителей персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Содержание

  • Как подготовиться к проверке Роскомнадзора?

    Для каждой компании проверка Роскомнадзора по персональным данным — важное событие, к которому стоит подготовиться заранее. Даже если оператор тщательно проработал все вопросы, касающиеся регламентации обработки ПДн в организации, и сформировал пакет необходимых документов, следует убедиться, что не осталось неучтенных мелочей.

    Есть восемь моментов, на которые обращает внимание Роскомнадзор.

    1. Ознакомление работников

    Все сотрудники организации должны быть под подпись ознакомлены с документами, регламентирующими порядок обработки их ПДн, а также устанавливающими их права и обязанности в этой области. В число таких документов входят:

    • Политика в отношении обработки персональных данных;
    • Положение об обработке персональных данных;
    • Положение об обработке персональных данных без использования средств автоматизации.

    2. Обучение работников в области защиты персональных данных

    Сотрудники, непосредственно занимающиеся обработкой ПДн, кроме вышеуказанных локальных актов должны быть под подпись ознакомлены с:

    • приказом о допуске к обработке ПДн;
    • Положением о порядке доступа в помещения, в которых ведется обработка ПДн;
    • планом проведения внутреннего контроля;
    • приказом об утверждении перечня помещений, в которых ведется обработка;
    • инструкциями: по учету и хранению съемных носителей ПДн; по организации резервного копирования и восстановления в ИСПДн; по учету лиц, допущенных к обработке; по антивирусной защите; по проведению инструктажа лиц, допущенных к работе с ПДн; по проведению внутреннего контроля; по порядку уничтожения и обезличивания ПДн; пользователя ИСПДн; пользователя при возникновении нештатной ситуации.

    Убедитесь в том, что персональные данные в вашей компании защищены

    3. Актуализация уведомления в Роскомнадзор об обработке ПДн

    При изменении данных об организации или об обработке ПДн оператор обязан в течение 10 дней с момента таких изменений уведомить об этом Роскомнадзор.

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    В связи с нововведениями в законе «О персональных данных» с 1 сентября 2015 года оператор теперь обязан уведомлять Роскомнадзор о месте нахождения баз данных ПДн граждан РФ.

    С 2016 года Роскомнадзор ужесточит проверки местонахождения ПДн. При проверке оператор будет обязан предъявить договор с российским дата-центром или документы, подтверждающие наличие собственного дата-центра (сервера, компьютера) на территории России.

    4. Согласие субъектов на обработку ПДн

    В отдельных случаях оператор обязан иметь письменное согласие субъекта на обработку его ПДн. Самые распространенные из них:

    • обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни);
    • обработка биометрических ПДн (нюанс: фотография в личном деле сотрудника не считается биометрией, а используемая в системе пропускного режима — считается);
    • составление общедоступных справочников внутри организации, адресных книг и т п.

    При обработке ПДн несовершеннолетних письменное согласие должны давать их родители (законные представители). Форма письменного согласия должна содержать:

    • ФИО, адрес, паспортные данные субъекта ПДн;
    • ФИО, адрес, паспортные данные представителя субъекта ПДн (например, одного из родителей), реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
    • наименование (ФИО) и адрес оператора;
    • цель обработки ПДн;
    • перечень ПДн, на обработку которых дается согласие;
    • наименование или ФИО и адрес оператора, которому ПДн будут переданы для обработки по поручению;
    • перечень действий, осуществляемых с ПДн (он не должен включать «распространение»);
    • срок, в течение которого действует согласие субъекта ПДн;
    • подпись субъекта ПДн.

    5. Поручение обработки третьему лицу

    В тех случаях, когда компания передает ПДн другой организации, оказывающей, например, бухгалтерские услуги или услуги ведения кадрового делопроизводства, это должно сопровождаться поручением оператора на обработку ПДн.

    Условия по поручению обработки могут быть включены в основной договор с другой организацией либо оформлены дополнительным соглашением к договору.

    Поручение оператора содержит:

    • перечень действий с ПДн;
    • цели обработки ПДн;
    • обязанность соблюдения конфиденциальности ПДн;
    • обязанность обеспечения безопасности ПДн;
    • требования к защите ПДн.

    При передаче ПДн в банк в рамках зарплатного проекта в договоре компании с банком как минимум должно содержаться требование обеспечения конфиденциальности ПДн. Все остальные условия, как правило, содержатся во внутренних локальных актах кредитной организации.

    6. Обработка ПДн на бумажных носителях

    Бумажные носители ПДн также должны отвечать ряду требований законодательства:

    • в типовой форме документа или положении/инструкции по его заполнению должны содержаться сведения о цели обработки ПДн, ФИО (наименовании) и адресе оператора, ФИО и адресе субъекта ПДн, источнике получения ПДн, сроке обработки ПДн, перечне действий с ПДн, общее описание используемых оператором способов обработки ПДн;
    • в Положении по неавтоматизированной обработке необходимо перечислить абсолютно все документы, которые создаются в организации и содержат ПДн, с их полными названиями;
    • для всех документов должны быть указаны сроки их хранения;
    • в отношении каждой категории ПДн указываются точные места хранения и перечень должностных лиц, имеющих к ним доступ;
    • если помимо основного офиса у оператора есть филиалы, обособленные подразделения, другие места, в которых обрабатываются ПДн, адреса этих мест четко определяются с указанием перечня лиц, имеющих к ним доступ;
    • материальные носители с ПДн, обрабатываемыми в разных целях, должны храниться в разных местах.

    Специалисты Роскомнадзора проверяют и соблюдение сроков хранения документов. Особо внимательно нужно отнестись к ПДн уволенных сотрудников. Если цель обработки ПДн достигнута и нет законных оснований для дальнейшего хранения ПДн, материальные носители ПДн должны быть уничтожены с составлением Акта об уничтожении ПДн. Одним актом можно оформить уничтожение сразу нескольких носителей ПДн.

    Читайте так же:  Ненадлежащее извещение ответчика в арбитражном процессе

    Отвечая на распространенный вопрос о том, где должны храниться бумажные носители ПДн, стоит отметить, что это могут быть как закрывающиеся на ключ ящики, так и обычные шкафы.

    7. Избыточность обрабатываемых персональных данных

    Обработка ПДн или копий документов, избыточных к заявленным целям, — это нарушение. Например, в ТК РФ есть исчерпывающий перечень документов, которые поступающий на работу предъявляет работодателю.

    8. Публикация Политики

    Оператор должен опубликовать Политику в отношении обработки ПДн в общедоступном месте. Если оператор собирает ПДн через свой сайт, то на нем также должен быть размещен этот документ.

    Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

    Источник: http://kontur.ru/articles/2832

    Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (с изменениями и дополнениями)

    Постановление Правительства РФ от 6 июля 2008 г. N 512
    «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

    С изменениями и дополнениями от:

    27 декабря 2012 г.

    Правительство Российской Федерации постановляет:

    1. Утвердить прилагаемые требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

    2. Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

    Председатель Правительства
    Российской Федерации

    Требования
    к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
    (утв. постановлением Правительства РФ от 6 июля 2008 г. N 512)

    С изменениями и дополнениями от:

    27 декабря 2012 г.

    1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

    2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее — материальный носитель).

    3. Настоящие требования не распространяются на отношения, возникающие при использовании:

    а) оператором информационной системы персональных данных (далее — оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

    б) бумажных носителей для записи и хранения биометрических персональных данных.

    4. Материальный носитель должен обеспечивать:

    а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

    б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее — уполномоченные лица);

    в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

    г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

    5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.

    6. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.

    7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.

    8. Оператор обязан:

    а) осуществлять учет количества экземпляров материальных носителей;

    б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

    9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:

    а) доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;

    Информация об изменениях:

    Постановлением Правительства РФ от 27 декабря 2012 г. N 1404 в подпункт «б» внесены изменения

    б) применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;

    в) проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.

    Информация об изменениях:

    Постановлением Правительства РФ от 27 декабря 2012 г. N 1404 в пункт 10 внесены изменения

    10. В случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана усиленной квалифицированной электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.

    Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

    11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

    12. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.

    В целях реализации конституционного права граждан на неприкосновенность частной жизни, личную и семейную тайну установлены требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

    Биометрическими персональными данными являются сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Обработка таких данных может осуществляться только с согласия гражданина, за исключением случаев, связанных с обеспечением безопасности государства, осуществлением правосудия и некоторых других.

    Читайте так же:  Обработка персональных данных кандидатов

    Требования распространяются на машиночитаемые носители информации (в том числе магнитные и электронные, за исключением бумажных), на которых осуществляются запись и хранение биометрических персональных данных.

    Материальный носитель должен обеспечивать защиту от несанкционированного доступа к биометрическим персональным данным, в том числе от несанкционированной повторной и дополнительной их записи; возможность идентификации информационной системы, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись.

    Порядок передачи материальных носителей уполномоченным лицам определяется оператором соответствующей информационной системы. Им же устанавливается срок, в течение которого материальный носитель должен использоваться. Этот срок не может быть больше срока, установленного изготовителем материального носителя.

    Постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

    Постановление Правительства РФ от 6 июля 2008 г. N 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

    Настоящее постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования

    Текст постановления опубликован в «Российской газете» от 11 июля 2008 г. N 148, в Собрании законодательства Российской Федерации от 14 июля 2008 г. N 28, ст. 3384

    В настоящий документ внесены изменения следующими документами:

    Постановление Правительства РФ от 27 декабря 2012 г. N 1404

    Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

    Источник: http://base.garant.ru/193541/

    Приложение 11. Места хранения персональных данных (материальных носителей) в зданиях Администрации Южского муниципального района и меры по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним

    Приложение 11
    к постановлению
    Администрации Южского
    муниципального района
    от 27.03.2019 N 265-п

    Места хранения
    персональных данных (материальных носителей) в зданиях Администрации Южского муниципального района и меры по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним

    Место хранения персональных данных, ответственное лицо, сотрудники

    Перечень мер по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним

    г. Южа, ул. Пушкина, д. 1, административное здание

    Кабинет N 16 (кадры) —

    отдел правового обеспечения, муниципальной службы и контроля;

    — муниципальный инспектор Закрытый доступ

    Документация, содержащая персональные данные, персональный компьютер, съемные носители

    Раздельное хранение материальных носителей, содержащих персональные данные, хранение персональных данных в сейфах, запираемых металлических шкафах, установка паролей на персональных компьютерах

    отдел общественной и информационной политики; ответственное лицо

    — начальник отдела. Сотрудники:

    — заместитель начальника отдела;

    — специалист по связям с общественностью;

    — системный администратор Закрытый доступ

    отдел правового обеспечения, муниципальной службы и контроля;

    ответственное лицо — заместитель начальника отдела.

    — главный специалист — юрист;

    Кабинет N 11, 11а —

    отдел бухгалтерского учета; ответственное лицо

    — начальник отдела. Сотрудники:

    — заместитель начальника отдела;

    отдел общественной и информационной политики; ответственное лицо

    — главный специалист. Сотрудники:

    ответственное лицо заместителя главы администрации по вопросам культуры, образования, социальной сферы, молодежи и спорта

    1. Отдел по делам культуры ответственное лицо

    2. Комиссия по делам несовершеннолетних и защите их прав при Администрации Южского муниципального района

    отдел экономического развития, торговли и сельского хозяйства; ответственное лицо

    — начальник отдела. Сотрудники:

    Видео (кликните для воспроизведения).

    — заместитель начальника отдела;

    отдел экономического развития, торговли и сельского хозяйства. ответственное лицо:

    — начальник отдела. Сотрудники:

    — главный специалист по сельскому хозяйству.

    г. Южа ул. Черняховского, д. 11, здание архива

    Отдел архивного и документационного обеспечения Ответственное лицо:

    Источник: http://base.garant.ru/47445234/10ed0f917186039eb157d3ba4f962ee5/

    Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных (подготовлено экспертами компании «Гарант»)

    Приказ
    об утверждении мест хранения материальных носителей персональных данных

    г. [ место издания приказа ]

    [ число, месяц, год ]

    В целях обеспечения режима конфиденциальности при работе с материальными носителями персональных данных в [наименование организации] и в соответствии с требованиями Положения об особенностях обработки персональных данных субъектов, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. N 687, приказываю:

    1. Утвердить следующие места хранения материальных носителей персональных данных и назначить ответственными за обеспечение сохранности материальных носителей следующих лиц:

    Категория персональных данных

    [ Бумажные носители персональных данных/электронные носители персональных данных ]

    [ сейф/жесткий диск/съемный носитель и др. ]

    [ должность, фамилия и инициалы ]

    2. Хранить материальные носители персональных данных только в утвержденных местах.

    3. Ознакомить под роспись лиц, ответственных за обеспечение сохранности материальных носителей персональных данных, с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

    4. Контроль за исполнением настоящего приказа возложить на [ должность, инициалы, фамилия ].

    Руководитель организации [ подпись, инициалы, фамилия ]

    С приказом ознакомлены:

    [ должность, подпись, инициалы, фамилия ]

    [ число, месяц, год ]

    Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 75 рублей или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

    Купить документ Получить доступ к системе ГАРАНТ

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    Примерная форма приказа об утверждении мест хранения материальных носителей персональных данных

    Разработана: Компания «Гарант», май 2015 г.


    Источник: http://base.garant.ru/55727569/

    Департамент общественных и внешних связей Ханты-Мансийского автономного округа – Югры

    Об утверждении мест хранения материальных носителей

    «18» ноября 2014 г. № 318

    С целью организации работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Департамента общественных и внешних связей Ханты-Мансийского автономного округа — Югры в соответствии с требованиями Закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных»

    1.Утвердить Список мест хранения материальных носителей персональных данных в Департаменте общественных и внешних связей Ханты-Мансийского автономного округа – Югры согласно приложению к настоящему приказу.

    Читайте так же:  Трудовые споры возмещение морального вреда

    2.Контроль за исполнением настоящего приказа возложить на заместителя директора Департамента Бурычкина О.И.

    Директор Департамента И.А. Верховский

    Приложение к приказу

    и внешних связей ХМАО-Югры

    от 18.11.2014 № 318

    хранения материальных носителей персональных данных в

    Департаменте общественных и внешних связей

    Ханты-Мансийского автономного округа — Югры

    Источник: http://depos.admhmao.ru/dokumenty/prik/223638/

    5 шагов по организации учета и хранения персональных данных

    Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

    Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

    Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

    Какие данные являются персональными

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

    К общим персональным данным можно отнести следующие сведения:

    • фамилия, имя, отчество;
    • дата и место рождения;
    • адрес (место регистрации);
    • образование, профессия;
    • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
    • семейное положение, наличие детей, родственные связи;
    • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
    • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
    • деловые и иные личные качества, которые носят оценочный характер;
    • прочие сведения, которые могут идентифицировать человека.

    Кроме того, в Законе о персональных данных упоминаются:

    • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
    • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

    Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    • в паспорте или ином документе, удостоверяющем личность;
    • трудовой книжке;
    • документах о воинском учете, образовании, составе семьи;
    • справке о доходах с предыдущего места работы;
    • анкете, заполняемой при трудоустройстве;
    • личной карточке работника (форма Т-2);
    • свидетельствах о заключении брака, рождении ребенка;
    • медицинских справках и др.

    У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

    Обработка персональных данных

    Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

    Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

    В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

    1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

    В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

    • цели получения персональных данных работника у третьего лица;
    • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
    • способы получения данных, их характер;
    • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

    Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

    Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

    2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

    Читайте так же:  Кооперативная квартира право собственности и наследники

    3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

    При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

    Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

    1. из документов (сведений), предъявляемых при заключении трудового договора;
    2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
    3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
    4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
    5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

    Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

    Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

    Организация учета и хранения персональных данных

    Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

    Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

    Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

    Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

    В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

    Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

    Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

    Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

    Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

    • заявления работников о согласии на обработку персональных данных;
    • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
    • журнал проверок наличия документов, содержащих персональные данные работника.

    Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

    Подведем итоги

    Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

    • от всех ли работников получено согласие на обработку персональных данных;
    • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
    • должным ли образом осуществляется хранение и защита персональных данных;
    • соответствует ли документация об их обработке требованиям законодательства и т.д.

    Источник: http://school.kontur.ru/publications/1583

    IV. ПОРЯДОК ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ РЕЖИМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОАО «РЖД»

    IV. Требования к обращению с материальными носителями персональных данных, их учет и хранение

    IV. Требования к обращению с материальными носителями
    персональных данных, их учет и хранение

    Читайте так же:  Распределение судебных расходов между сторонами процесса

    39. Требования к подготовке, оформлению, обработке, прохождению (согласованию), регистрации и хранению бумажных носителей персональных данных определяются нормативными документами ОАО «РЖД», устанавливающими порядок ведения делопроизводства, с учетом положений, предусмотренных настоящим Порядком.

    40. Персональные данные субъектов персональных данных хранятся на бумажных носителях в соответствии с номенклатурой дел и в электронном виде (в информационных системах ОАО «РЖД», на ПЭВМ, а также на съемных магнитных, оптических и других цифровых носителях), с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.

    41. Черновики и рабочие варианты документов, содержащих персональные данные, уничтожаются исполнителем без возможности восстановления.

    42. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

    Хранение материальных носителей должно осуществляться в помещениях, находящихся в контролируемой зоне.

    43. Руководителем подразделения ОАО «РЖД» утверждается перечень помещений, в которых хранятся материальные носители персональных данных, по форме согласно приложению N 10.

    44. Копирование и печатание документов, содержащих персональные данные, должно осуществляться в порядке, исключающем возможность нарушения конфиденциальности персональных данных.

    45. При изъятии из дел или перемещении из одного дела в другое документов, содержащих персональные данные, производится соответствующая отметка во внутренней описи дела, в которой указывается новое местонахождение документа.

    При необходимости вместо изъятых документов в дело могут быть подшиты их заверенные копии.

    46. Машинные носители учитываются в журнале учета машинных носителей персональных данных, составленном по форме согласно приложению N 11.

    47. Все находящиеся на хранении и в обращении СНИ с персональными данными подлежат учету. Каждый СНИ, предназначенный для работы с персональными данными, должен иметь этикетку, на которой указывается его регистрационный номер, условное или сокращенное название подразделения.

    хранить СНИ, содержащие персональные данные, на рабочих местах ненадлежащим образом или передавать на хранение другим лицам;

    выносить СНИ, содержащие персональные данные, из рабочих помещений без служебной необходимости.

    Источник: http://bazanpa.ru/oao-rzhd-prikaz-n60-ot20072016-h3073017/poriadok/4/

    Персональные данные: «соломка» для кадровика

    «Знал бы, где упаду, соломку бы подстелил», — с таким же ощущением сегодня ждут проверки Роскомнадзора. Однако, к счастью для кадровиков, есть человек, который знает типичные нарушения закона № 152-ФЗ и требования контролирующих органов к кадровой службе. Сегодня Александр Цыкарев расскажет, как избежать нарушений ФЗ-152 и, как следствие, предписаний и штрафов.

    Александр Цыкарев, руководитель проектов по защите информации компании СКБ Контур.

    Места хранения

    Во-первых, нужно определиться с местами хранения личных дел сотрудников и других документов, содержащих персональные данные сотрудников (например, трудовые договора и карточки учета). Необходимо составить перечень таких «хранилищ» и утвердить его приказом по организации.

    Во-вторых, хранить вышеназванные документы следует таким образом, чтобы исключить несанкционированный доступ к ним сотрудников, в чьи функциональные обязанности не входит обработка ПДн, а также посторонних лиц. Для хранения данных документов необходимо использовать запираемые на ключ помещения, ящики, шкафы, сейфы и т д. Конкретных требований к надежности таких «хранилищ» на данный момент нет.

    Избыточная информация

    При работе с ПДн важно обрабатывать только ту информацию, которая необходима для выполнения целей. Избыточные персональные данные (например, подробные сведения о родственниках сотрудника) необходимо удалять путем вымарывания, вычеркивания и т п. Мероприятия, которые можно проводить для удаления ПДн с бумажных носителей, подробнее описаны в Постановлении Правительства № 687.

    Также представители Роскомнадзора негативно относятся к хранению в личных делах копий паспортов, водительских удостоверений (если сотрудник не выполняет обязанности водителя), т.к. их наличие в кадровой службе не регламентировано ни одним законодательным актом. Проще отказаться от использования копий данных документов и пользоваться просто паспортными данными, чем потом доказывать проверяющему законность хранения копий.

    Базы резюме

    Дополнительную проблему создает хранение резюме соискателей. Вообще хранение и обработка таких резюме находится на грани соответствия ФЗ «О персональных данных», что признают и сами представители Роскомнадзора. Поэтому, если хранение резюме не является для вашей организации необходимостью, то проще их удалить и тем самым избежать рисков, связанных с их обработкой. В противном случае необходимо применение дополнительных организационно-распорядительных, а в ряде случаев и технических мер.

    Работающие с персданными

    Сотрудники, в чьи функциональные обязанности входит работа с персональными данными, а это практически все сотрудники отдела кадров, должны быть допущены к обработке персональных данных отдельным приказом «О доступе к персональным данным». В нем указывается Ф.И.О. сотрудника, его должность, можно также указать характер обработки (автоматизированная/неавтоматизированная), но это не является обязательным.

    Помимо этого необходимо вести журнал учета лиц, допущенных к обработке ПДн. Отличие от сведений, представленных в приказе «О доступе к персональным данным», заключается в указании даты начала предоставления доступа к ПДн и даты прекращения данного доступа (например, при увольнении сотрудника или переходе в другой отдел).

    Также с вышеперечисленных сотрудников необходимо взять «Обязательство о неразглашении информации конфиденциального характера», к которой как раз и относятся персональные данные сотрудников.

    Формы приказов, журналов, обязательств обычно разрабатываются сотрудниками, ответственными за защиту ПДн в организации, либо юридическим отделом.

    Видео (кликните для воспроизведения).

    Одно из самых частых нарушений — использование неучтенных носителей информации (дискет и флешек). Нельзя подключать к компьютерам отдела кадров все подряд флеш-накопители. Согласно требованию Постановления Правительства №781, все отчуждаемые носители информации должны быть учтены в специальном журнале. Т.е. все флешки сотрудников отдела кадров необходимо записать в отдельный журнал, в котором указываются модели и серийные (либо инвентарные) номера.

    Большинство нарушений, выявляемых в ходе проверок контролирующими органами в кадровой службе, связаны с нарушением правил обработки и хранения персональных данных на бумаге.


    Источник: http://kontur.ru/articles/2128
    Хранение материальных носителей персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here