С чего начинается процесс правового обоснования обработки пдн

Обновлено: 02.07.2024

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (Закон о ПДн) защищает личную информацию от неправомерного разглашения.

Персональные данные — любая информация, которая позволяет опознать конкретную личность: данные паспорта, имя, номер телефона, результат измерения температуры тепловизором, фотография и даже свидетельство о смерти.

Перечень таких данных — открытый. Это означает, что любые сведения, позволяющие идентифицировать человека, можно отнести к ПДн.

Обеспечить неприкосновенность персональных данных должен каждый оператор: госструктуры, организации всех форм собственности и физлица (статья 19 Федерального закона о персональных данных N 152-ФЗ).

Операторы — государственные и муниципальные органы, любые компании, физические лица, которые собирают личную информацию и осуществляют иные операции по их обработке.

На практике требования Закона о ПДн касается каждой компании, в которой трудятся наёмные работники или используется работа call-центров, ведётся любая деятельность с использованием личной информации.

За работой операторов надзирает несколько ведомств:

  1. Роскомнадзор.
  2. Федеральная служба по техническому и экспортному контролю (ФСТЭК).
  3. ФСБ России.
  4. Прокуратура Российской Федерации.

Категории персональных данных

Персональные данные делятся на категории:

  • общая;
  • специальная;
  • биометрические данные;
  • обезличенные.

Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.

Этот перечень открытый.

Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.

Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.

Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:

  • отпечатки пальцев;
  • ДНК;
  • сканирование сетчатки;
  • распознавание радужки.

Биометрию можно использовать только при наличии письменного согласия кроме некоторых случаев (для исполнения международных договоров, в интересах правосудия и т. п.).

Обезличенные. Информация обезличивается при обработке, в результате которой становится невозможно соотнести данные с определённым человеком.

Как обрабатывать ПДн

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

  1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
    • сотрудников фирмы;
    • при заключении договоров;
    • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
  2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
  3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
  4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
  5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

  • регламент обработки данных;
  • правила компании по подбору персонала;
  • введение пропускного режима;
  • перечень мест хранения данных;
  • регламент уточнения, уничтожения ПДн.

Организация защиты персональных данных

Для защиты персональных данных применяют различные возможности:

    Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.

Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.

Чем грозит невыполнение требований по обработке персональных данных

За нарушение законодательства предусмотрен полный спектр юридической ответственности:

  • дисциплинарная — за неправомерную обработку данных работником компании;
  • гражданско-правовая — в виде возмещения убытков, компенсации морального вреда;
  • административная — когда это предусмотрено Кодексом об административных правонарушениях;
  • уголовная — за причинение вреда наиболее охраняемым общественным интересам.

Наиболее частое наказание — назначение административного штрафа.

Статья 13.11 КоАП РФ устанавливает девять составов правонарушений, в числе которых ответственность за обработку данных, когда это не предусмотрено законом; с отступлением от заявленных компанией целей и другие неправомерные действия.

За виновные действия предусмотрено наказание, минимальный и максимальный размер которого приведён в таблице.

Размер штрафа Граждане Должностные лица Юрлица и индивидуальные предприниматели
Минимальный Предупреждение или Штраф 1 – 3 тыс. р. Штраф 5 – 10 тыс. р. Штраф 30 – 50 тыс. р.
Максимальный Штраф 30 – 50 тыс.р. Штраф 100 – 200 тыс. р. Штраф 1 – 6 млн р.
За повторное нарушение Штраф 50 – 100 тыс. р. Штраф 500 – 800 тыс. р. Штраф 6 – 18 млн р.

Основные нормативные документы, касающиеся обработки персональных данных

Основная трудность, с которой сталкиваются компании при организации защиты персональной информации, заключается в том, что требования к обработке ПДн установлены не только федеральными законами, но и во множестве ведомственных подзаконных нормативных актов.

Принципы защиты персональной информации, требования к операторам и правила обработки установлены в:

    от 28 января 1981 г., ETS № 108.

Конвенция устанавливает основные принципы и обязанности каждого государства – участника Конвенции, обеспечить соблюдение основных прав и свобод человека и неприкосновенность частной жизни.

от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46 / EC.

Больше известен как GDPR – General Data Protection Regulation. Актуален для компаний, которые ведут деятельность с участием европейских партнёров.

ФЗ даёт определение понятий, устанавливает принципы и условия обработки ПДн, права субъектов, личные данные которых обрабатываются, обязанности операторов, определяет уполномоченный орган и устанавливает ответственность за нарушения.

Указ перечисляет общие критерии, по которым информацию можно отнести к персональным данным.

Постановление определяет уровни защищённости информации и раскрывает содержание мер, которые обеспечивают безопасную обработку конфиденциальных данных.

Приказ устанавливает правила обезличивания информации.

Приказом утверждён перечень организационных и технических мер по обеспечению безопасности ПДн.

Кроме того, положения о защите конфиденциальной информации установлены в других федеральных законах; регламентах, приказах, инструкциях министерств и ведомств.

Назначение ответственных за организацию защиты данных

Оператор должен назначить ответственного за операции с конфиденциальными данными.

Ответственное лицо обязано:

  • контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
  • информировать работников о правилах обработки конфиденциальных данных;
  • вести приём и обработку обращений субъектов ПДн.

В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.

Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

  1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
  2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
  3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
  4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
  5. Со всеми приказами работники должны быть ознакомлены под подпись.

Вывод

С каждым годом контроль по стороны Роскомнадзора становится всё жёстче, а ответственность операторов — выше:

Период Выписано протоколов Сумма штрафов
2018 г. 156 437 тыс. рублей.
2019 г. 215 1 млн 99 тыс. рублей

Из таблицы видно, что в 2019 году привлечение к административной ответственности выросло на 22 % по сравнению с предыдущим годом.

В 2020 году ситуация обострилась: ответственность за некорректную обработку персональных данных ужесточилась. Более того, индивидуальных предпринимателей по объёму ответственности приравняли к юридическим лицам.

Только строгое следование требованиям закона при обработке конфиденциальной информации позволит избежать нарушений и привлечения к ответственности.

ПАМЯТКА РАБОТОДАТЕЛЮ (страхователю), с которым в трудовых отношениях состоят лица возраста 65 лет и старше (ПЕРИОД с 02 по 15 марта 2021 года)

Для целей настоящей Политики используются следующие понятия:

Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).

Оператор ПДн (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.

Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.

Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Общие положения

Настоящая Политика оператора в отношении обработки ПДн (далее – Политика) разработана в целях выполнения норм федерального законодательства, соблюдении принципов целостности, доступности и конфиденциальности при обработке ПДн, а также обеспечение безопасности процессов их обработки вАдминистрации Шалинского городского округа (далее – Оператор).

Политика характеризуется следующими признаками:

1) Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн.

2) Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.

3) Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

3. Информация об операторе

Наименование: Администрация Шалинского городского округа (Администрация Шалинского ГО).

Юридический адрес: 623030,Свердловская область, Шалинский район, поселок городского типа Шаля, ул. Орджоникидзе, д.5.

Фактический адрес: 623030,Свердловская область, Шалинский район, поселок городского типа Шаля, ул. Орджоникидзе, д.5

Телефоны: 8 (34358) 2-25-31, 8 (34358) 2-25-01, 8 (34358) 2-19-20.

4. Правовые основания обработки ПДн

Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

1) Конституцией Российской Федерации.

2) Налоговым кодексом Российской Федерации.

3) Трудовым кодексом Российской Федерации.

4) Земельным кодексом Российской Федерации.

5) Жилищным кодексом Российской Федерации.

14) Уставом Шалинского городского округа.

Во исполнение настоящей Политики руководящим органом Оператора утверждены следующие локальные нормативные правовые акты:

1) Положения и инструкции, регламентирующие порядок обработки и защиты персональных данных.

2) Перечень обрабатываемых персональных данных.

3) Перечень информационных систем персональных данных.

4) Перечень подразделений и работников, допущенных к работе с персональными данными.

5) Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

6) Акты классификации (определения уровня защищенности) информационных систем персональных данных.

5. Цели обработки ПДн

Оператор обрабатывает ПДн исключительно в следующих целях:

1) Выполнение полномочий, определенных Уставом Шалинского городского округа.

2) Исполнения положений нормативных актов, указанных в пункте 4 настоящего Приложения №1.

3) Ведение кадровой работы, выполнение условий трудового договора, обеспечение охраны труда, расчет заработной платы.

4) Работа с жалобами, заявлениями граждан и индивидуальных предпринимателей, обратившихся к Оператору.

5) Рассмотрение дел об административных правонарушениях и составления протоколов.

6 . Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения

В ИСПДн Оператора обрабатываются следующие категории ПДн:

1) ПДн граждан, обратившиеся к Оператору с обращением, заявлением, с целью получения муниципальной услуги и их близких родственники.

2) ПДн муниципальных служащих, состоящих в трудовых отношениях с Оператором и их близких родственники .

3) ПДн работников, принятых по договору оказания услуг и их близких родственники.

4) ПДн индивидуальных предпринимателей и юридических лиц, оказывающие услуги в сфере потребительского рынка и бытового обслуживания.

5) ПДн лиц, совершивших административные правонарушения.

Источники поступления ПДн: из первичной документации, предоставляемой самими субъектами персональных данных.

7. Основные принципы обработки, передачи и хранения ПДн

Оператор не осуществляет обработку БИОМЕТРИЧЕСКИХ ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных).

Оператор не осуществляет обработку СПЕЦИАЛЬНЫХ категорий ПДн , касающихся состояния здоровья.

Оператор осуществляет обработку ИНЫХ категорий ПДн.

Оператор осуществляетобработку ОБЩЕДОСТУПНЫХ категорий ПДн.

Оператор не производиттрансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

8. Порядок и условия обработки персональных данных

Действия, совершаемые оператором при обработке ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, уничтожение персональных данных

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности осуществляет информационный обмен ПДн со следующими организациями:

1) Территориальный фонд обязательного медицинского страхования.

2) Федеральная налоговая служба.

3) Пенсионный Фонд Российской Федерации.

5) Фонд социального страхования.

6) Лицензирующие и/или контролирующие органами государственны власти и местного самоуправления.

9. Меры по обеспечению безопасности ПДн при их обработке

Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

1) Назначением ответственных за организацию обработки ПДн.

3) Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн и обучением указанных Работников.

4) Определением угроз безопасности ПДн при их обработке в ИСПДн.

5) Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.

6) Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.

7) Учетом машинных носителей ПДн.

8) Выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер.

9) Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

10) Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

11) Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

10. Права субъектов персональных данных

Получить сведения, касающиеся обработки ПДн оператором, а именно:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.

6) сроки обработки персональных данных, в том числе сроки их хранения;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

Потребовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными; устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

Отозвать согласие на обработку персональных данных в предусмотренных законом случаях.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.

Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

11. Контроль н надзор за обработкой персональных данных

Ответственным за организацию обработки и обеспечения безопасности персональных данных в Администрации Шалинского городского округа является лицо, назначенное постановлением Администрации Шалинского городского округа.

Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

12. Заключительные положения

Настоящая Политика утверждается Главой Шалинского городского округа.

Оператор имеет право вносить изменения в настоящую Политику.

При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.

ВЫБИРАЕМ ВМЕСТЕ! Единый день голосования 19 сентября 2021 года Бессмертный полк онлайн Примите участие в акции, заполни анкету до 7 мая. Год памяти и славы. Год памяти и славы. Его временные рамки весьма условны: у подвига поколения Победителей и благодарной памяти их потомков нет и не может быть срока давности, меры, границ. 75-летия победы в Великой Отечественной войне 75-летия победы в Великой Отечественной войне Министерство здравоохранения Свердловской области официальный сайт Медгородок удобный поиск аптек и лекарств ПОРТАЛ О ЗДОРОВОМ ОБРАЗЕ ЖИЗНИ Официальный ресурс Министерства здравоохранения Российской Федерации Государственные услуги Официальный сайт администрации Шалинского городского округа Ваш контроль Расскажите нам, где, как и с каким результатом вы получали государственные услуги. Ваши отзывы помогут оценить работу конкретных чиновников и органов власти, чтобы в итоге сделать государство удобным и эффективным. Соцопросы на портале "Открытое правительство Свердловской области" Открытое правительство Свердловской области Онлайнинспекция.рф Ресурс позволяет обратиться в инспекцию труда, получить бесплатную консультацию по вопросам трудовых отношений или провести самопроверку своей организации. Министерство по управлению государственным имуществом Свердловской области Официальный сайт Работа в России Общероссийская база вакансий Сплошное наблюдение малого и среднего бизнеса Сплошное наблюдение малого и среднего бизнеса Доступная среда Свердловской области Автоматизированная информационная система Защита прав потребителей Свердловской области Потребитель вправе требовать предоставления необходимой и достоверной информации об изготовителе (исполнителе, продавце) Бесплатная юридическая помощь 21 ноября 2011 года принят Федеральный закон № 324-ФЗ "О бесплатной юридической помощи в Российской Федерации" Бюджет для граждан Бюджет Шалинского городского округа Портал малого и среднего предпринимательства Свердловской области Портал малого и среднего предпринимательства Свердловской области "Шалинский вестник" Общественно-политическая районная газета Федеральное государственное унитарное предприятие "Российская телевизионная и радиовещательная сеть" Цифровое телевидение в каждый дом Официальный интернет-портал правовой информации Свердловской области Государственная система правовой информации Правительство Свердловской области Официальный сайт Свердловский областной центр профилактики и борьбы со СПИД На этом сайте каждый житель СО может получить информацию о том, как узнать свой ВИЧ-статус, где пройти обследование на ВИЧ, телефоны доверия, расписание работы мобильных пунктов обследования на ВИЧ. Результаты независимой оценки качества оказания услуг организациями ОФИЦИАЛЬНЫЙ САЙТ для размещения информации о государственных (муниципальных) учреждениях Шалинская районная территориальная избирательная комиссия . ЦЕНТР РАЗВИТИЯ ЮРИДИЧЕСКИХ КЛИНИК . Инфографика . Инвестиционный портал Свердловской области . СОГУП "Областной центр недвижимости" . Жить вместе Доступная среда

© 2022 Официальный сайт Администрации Шалинского городского округа

Карта органов государственной власти

  • Президент России
  • Государственная дума Федерального Собрания РФ
  • Портал государственных услуг
  • Национальный антитеррористический комитет
  • Полномочный представитель Президента в Северо-Кавказском федеральном округе

  • Правительство Российской Федерации
  • Председатель Правительства Российской Федерации
  • Министерство внутренних дел Российской Федерации (МВД России)
  • Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (МЧС России)
  • Министерство иностранных дел Российской Федерации (МИД России)

  • Министерство финансов Свердловской области
  • Министерство образования и молодежной политики Свердловской области
  • Министерство промышленности и науки Свердловской области
  • Министерство по управлению государственным имуществом Свердловской области
  • Министерство социальной политики Свердловской области

  • Уполномоченные по правам предпринимателей РФ
  • Уполномоченный по правам ребенка в Свердловской области
  • Уполномоченный по защите прав предпринимателей в Свердловской области
  • Счетная палата Свердловской области
  • Избирательная комиссия Свердловской области

Политика обработки персональных данных

С точки зрения федерального законодательства информация, позволяющая идентифицировать граждан РФ, относится к категории конфиденциальной и должна быть определенным образом защищена. Каждая организация или ИП несет юридическую ответственность за получаемые сведения от клиентов, партнеров и собственных работников. Для законного осуществления любых операций с ними, начиная от сбора и копирования, заканчивая уничтожением и обезличиванием, нужно выполнить ряд условий, прописанных в ФЗ-152, ФЗ-13 и подзаконных актах. Политика персональных данных — это обязательный документ наряду с согласием на обработку и другими локальными актами, регламентирующими вопросы обработки и защиты персональных данных. Нарушение требований может привести к серьезным негативным последствиям, поэтому следует еще на начальном этапе запуска бизнеса разобраться, как составлять подобный вид документации: какая информация там должна быть, что указывать в тех или иных пунктах и т.д.

Документ, объясняющий различные нюансы обращения с личной информацией о физических лицах, должен быть у всех без исключения операторов, включая тех, кто работает в Интернете. Вид деятельности значения не имеет.

Политика обработки персональных данных в организации: суть и цели составления

Важным этапом для каждой организации является приведение процесса обработки персональных данных в соответствие с действующей нормативно-правовой базой РФ в области ПДн. Статус оператора накладывает ряд обязательств, среди которых — разработка и внедрение внутренних документов, регулирующих механизм и условия взаимодействия с владельцами личной информации. Политика в области обработки и защиты персональных данных является основным из предусмотренных ФЗ документов, которые должны быть как у юридического лица, так и у индивидуального предпринимателя. Следование её положениям дает возможность минимизировать опасность несанкционированного получения доступа и распространения конфиденциальных сведений.

Есть ряд нюансов, которые необходимо принять во внимание:

  • все сотрудники предприятия, имеющие дело с ПДн в рамках профессиональной деятельности, должны быть ознакомлены с текстом и своими обязательствами перед субъектами;
  • недостаточно просто составить документ — необходимо опубликование политики обработки персональных данных на официальном сайте или обеспечение иным образом доступа к ней всем, кто может заинтересоваться её изучением;
  • в документе обязательно должна быть указана дата введения и срок его действия;
  • после внедрения нужен постоянный контроль соблюдения всех пунктов персональной политики, иначе представители Роскомнадзора обязательно найдут нарушения в ходе очередной проверки.

Главная задача составителей документа заключается в проработке текста таким образом, чтобы вероятность появления претензий (как у государственных органов, так и у субъектов персональных данных) была минимальной. Если нет штатных сотрудников, которые бы взяли на себя выполнение этой задачи, всегда можно обратиться к специалистам нашего Центра безопасности данных. Поручая разработку профессионалам, вы существенно сэкономите время, избежите типичных ошибок и получите в распоряжение документ, который на 100% соответствует актуальным требованиям законодательства РФ.

  • проанализировать работу фирмы в контексте ФЗ-152;
  • внимательно изучить рекомендации Роскомнадзора от 27.07.2006;
  • просмотреть (не копировать) документы фирм с аналогичной специализацией;
  • составить политику ПДн, проясняющую все нюансы взаимодействия вашей организации.

Особенности разработки

Для создания документа, отвечающего нормативам действующего российского законодательства, нужно проработать шесть разделов, у каждого из которых есть своя специфика:

  1. Общие положения — вводная часть, где требуется детально разъяснить те понятия, которые будут упоминаться в следующих разделах. Речь идет, прежде всего, о терминах, прописанных в ФЗ-152, так что описания можно взять оттуда, как и список прав и обязанностей участников процесса обработки личной информации. Отдельного внимания заслуживает пункт о назначении документа — здесь имеет смысл воспользоваться максимально общей формулировкой, например, о защите прав субъектов ПДн.
  2. Правовые основания для совершения операций с конфиденциальными сведениями. Речь идет, в первую очередь, о регулирующих деятельность нормативно-правовых актах, основными из которых являются Налоговый, Гражданский, Трудовой кодексы, учредительная документация предприятия, трудовые соглашения/договора с сотрудниками. Также в перечень нужно включить согласие граждан на хранение, использование, копирование и другие действия с их данными.

Типичной ошибкой является включение ФЗ-152 в список законодательных оснований для реализации документа. Но этот закон определяет требования к операторам, поэтому добавлять его не нужно.

Чем грозит неисполнение политики в отношении обработки персональных данных?

Не стоит легкомысленно относиться к составлению и опубликованию внутренней документации в сфере ПДн. В последние годы Роскомнадзор все сильнее защищает интересы граждан в отношении защиты конфиденциальности личной информации, поэтому компании тщательно и регулярно проверяют.

Во время плановых и внеплановых визитов представители госструктуры изучают все, начиная от соответствия содержания политики обработки персональных данных требованиям законодательства, заканчивая исполнением её положений и наличием свободного доступа к тексту. В зависимости от степени нарушений может быть назначено наказание в виде штрафа от тысяч рублей (для директора), тысяч рублей (для ИП), тысяч рублей (для предприятия). Учитывая, что сумма может суммироваться со штрафами за иный нарушения, итоговая цифра может быть весьма внушительной. Также нужно помнить, что в случае утечки информации о санкциях за несоблюдение ФЗ-152 доверие клиентов, работников и поставщиков к вашей компании может быть подорвано. Поэтому лучше изначально потратить время, кадровые и финансовые ресурсы на урегулирование данного вопроса.


Бухгалтеры и специалисты по кадровому учету уже давно привыкли, что при приеме на работу нового сотрудника у него нужно брать Согласие на обработку персональных данных. А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа? Да и как показывает судебная практика по таким вопросам, не все так просто, как кажется на первый взгляд. В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.

В рамках трудовых отношений компании — работодателю необходимо обладать личными данными физ. лица для корректного оформления кадровых документов и выполнения работником своих трудовых функций.

Персональные данные (по тексту далее ПДн) — это информация, которую можно отнести к конкретному физ. лицу (Закон от 27.07.2006 № 152-ФЗ). Как правило, такими данными является Ф.И.О., сведения о предыдущих местах работы, паспортные данные, и прочие.

Стоит заметить, что работодатель вправе запрашивать только те сведения, которые нужны для выполнения должностных обязанностей. Это значит, что информацию, касающуюся национальной принадлежности, политических взглядов, вероисповедания и другие подобные сведения работодатель запрашивать не имеет права.

Форма согласия

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Отказ от согласия

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Как работодателю получить согласие?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Форма документа

Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.

Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?

Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.

Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.

Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2018 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.

Отзыв согласия

Работник организации в любой момент имеет право отозвать свое согласие на обработку и распространение персональных данных.

Для этого ему достаточно будет подтвердить свое решение письменным требованием в произвольной форме.

В документе следует указать:

  • ФИО заявителя;
  • контакты заявителя;
  • ПДн, обработку и распространение которых необходимо прекратить.

Работодатель должен прекратить пользоваться информацией в течение трех рабочих дней. Иначе сотрудник имеет право обратиться в суд (п. 14 ст. 10.1 Закона № 152-ФЗ).

Не стоит забывать, что есть ПДн, на обработку которых согласие сотрудника не требуется, например, те, что нужны для исполнение трудового договора. Все остальные данные компании-работодателю стоит уничтожить.

Штрафы

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Учет персональных данных в 1С: Бухгалтерии предприятия ред. 3.0


Не заметить кнопку, выводящую на печать нужный нам документ сложно, ведь она располагается прямо на панели инструментов


Рассмотрим подробнее алгоритм заполнения Согласия на обработку ПНд.

Основные сведения о физ. лице и о компании заполняются автоматически.

Следует проверить отраженные программой информации и заполнить следующие строки:

1. Ответственный за обработку — выбираем работника организации, на которого возложена ответственность за обработку данных;

2. ФИО ответственного лица для печати.

Самая частая ошибка в этом документе — это дата получения согласия.

В итоге показатели в этих полях существенно различаются и могут не соответствовать действительности.


Распечатать документ можно в формате Word или в табличном формате 1С.


Нужная для этого кнопка располагается на панели инструментов.


В отзыве снова заполняем ответственное лицо и его ФИО.

В нашем примере оно было бессрочным. Данный документ не имеет печатной формы, но в 1С сведения регистрируются.


Все полученные и отозванные физическими лицами согласия можно найти в отчетах по кадрам.


Здесь интересны сразу два отчета, выделенные на скриншоте ниже. Они позволяют отследить действующие согласия и согласия, по которым истекает срок действия.

Также возможно увидеть отзывы согласий сотрудников.


Сформируем отчет по действующим согласиям.

У Васильева К.М. дата получения согласия и дата документа основания совпадают, чего нельзя сказать о Березовском А.


Двойным щелчком мыши по документу основанию можно открыть Согласие на обработку ПДн.

Обратим внимание, что в документе установлена дата, до которой будет действовать согласие, т.е. данное согласие не бессрочно.


По этому отчету легко проследить сроки действия согласий. Если данное поле пустое, значит согласие действует бессрочно. Также с помощью этого отчета можно увидеть отзывы согласий.


В соответствии с ФЗ от 27.07.2006 No 152-ФЗ работодатели обязаны сохранять конфиденциальность персональных данных, полученных от физических лиц.

В 1С можно отследить информацию по работе пользователей с данными.



По умолчанию здесь не проставлены галочки, но для того, чтобы программа регистрировала события доступа к ПДн, необходимо проставить галочки вручную.

Список данных предопределен. Пользователю надо выбрать ту информацию, по которой предполагается отслеживание изменений.

Данный журнал позволяет отследить действия сотрудников в программе.


Таким образом программа 1С позволяет регистрировать события доступа к персональным данным физических лиц.

АКЦИЯ ПРОДЛЕНА

Читайте также: