Обеспечение сохранности персональных данных работников

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу);
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу;
  • семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

Судебная практика

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

Организационные требования к НКО

Огромное внимание Роскомнадзор уделяет правильно составленным обязательным документам. Поэтому рекомендуем Вам в самое ближайшее время разработать и утвердить следующие документы:

  1. Правила обработки персональных данных (скачать образец)
  2. Порядок доступа работников в помещения, в которых проводится обработка персональных данных
  3. Документ о назначении лица, ответственного за организацию обработки персональных данных.

С правилами обработки персональных данных необходимо ознакомить всех работников НКО под роспись. Документы, содержащие персональные данные, должны храниться в запирающихся шкафах.

Закон также требует, чтобы персональные данные уничтожались тогда, когда их хранение уже не является необходимым. Например, жалоба была выиграна в Европейском суде, решение ЕСПЧ было исполнено, значит, данные нужно уничтожить. А об уничтожении составить акт.  

Более того, мы Вам ранее рассказали, что закон требует, чтобы хранение  и обработка велась в России, поэтому необходимо иметь документы, подтверждающие размещение баз данных на технических площадках (ЦОД, сервера) в России. Это могут быть либо собственные серверные мощности, либо арендованные.

Физическое хранение персональных данных

Многие специалисты отдела кадров ведут личные дела работников традиционным способом и не желают от него отказываться.

Особенности этого заключаются в том, что вся информация о каждом работнике, представленная оригиналами и копиями документов накапливается в специально оформленной папке. При этом единых правил оформления личных дел в коммерческих организациях не существует.

Преимущества ведения личных дел:

  • все данные о сотруднике находятся в одном месте;
  • возможность четкой систематизации;
  • быстрый поиск информации о конкретном человеке.

Недостатки хранения персональной информации с комплектованием личных дел:

  • высокая трудоемкость (требуется регламент, подшивка документов, опись, сверка, архивирование);
  • требуются дополнительные ресурсы (сейфы, отдельные помещения и т.д.);
  • необходимы навыки работы с личными делами.

Часто персональная информация о работниках хранится на бумажных носителях, расположенных в разных тематических папках в соответствии с номенклатурой организации.

Все документы, касающиеся работников, одного назначения: трудовые договоры, документы анкетно-биографического характера, договоры материальной ответственности и т.д. размещаются в отдельные папки и выстраиваются в алфавитном порядке или по регистрационным номерам.

В сравнении с оформлением личных дел, такой способ хранения данных о работниках несет в себе меньше трудозатрат и не требует особых навыков от кадровика.

Однако раздельное хранение имеет и свои недостатки:

  • поиск информации о сотруднике занимает много времени;
  • существует более высокий риск раскрытия конфиденциальной информации.

Кому отдавать персональные данные?

Операторам, которые имеют аттестацию ФСТЭК и ФСБ и работают в рамках ФЗ-152

Поменьше обращайте внимание на красивые презентации от облачного провайдера. Чтобы понять, действительно ли можно доверять сервис-провайдеру, узнайте, аттестован ли закрытый контур, в котором планируется хранить ваши данные

Хотя аттестация необязательна, ее наличие свидетельствует о том, что решение, которое предлагает сервис-провайдер, соответствует требованиям 21 приказа ФСТЭК (в нем описаны организационные и технические меры по защите персональных данных) и прошло проверку аккредитованным органам по аттестации ФСТЭК.

Нюансы работы с персональными данными клиентов в российских реалиях

  1. Елена, 8-756-899-11-90;
  2. Дмитрий, 15.08.1988, сварщик;
  3. кассир, ЗАО «Большая равнина».

Такую информацию Роскомнадзор считает персональной.

Закон не расценивает персональной информацию, выложенную самим человеком по доброй воле в открытый доступ. Ф. И. О. и номера телефонов, взятые из справочников типа «Желтые страницы», соцсетей и других подобных источников – это не персональные данные. Исключение – социальная сеть «ВКонтакте», данные пользователей которой Роскомнадзор запретил собирать и обрабатывать.

Например, собирает в соцсетях базу покупателей и заносит в нее данные о пользователях, их контакты. Операторы компании потом звонят людям из этой базы с целью рекламы своих продуктов.

Эти сведения считаются персональными, и в теории данная организация должна подготовить для Роскомнадзора отчет по своей деятельности. Если использовать для сбора данных все социальные сети, кроме «ВКонтакте», то отчитываться перед контролирующим органом не нужно.

При заключении договора все указываемые потребителем сведения тоже считаются персональными. Если они удаляются сразу после завершения работ по договору, то отчет для Роскомнадзора не потребуется. Чтобы не нарушать закон, данные должны быть уничтожены без промедления.

Личные данные Шаров собирает с целью оформления договора, но после завершения сделки продолжает их хранить. Следовательно, Роскомнадзор потребует с него отчет, поскольку закон определяет срок хранения персональных данных клиентов. Если Владимир отчитываться не хочет, то он обязан удалять информацию о своих покупателях после окончания контракта.

По закону сбор и хранение избыточных персональных данных запрещен. Допустим, продавец шаурмы собирает номера телефонов и Ф. И. О. потребителей для рассылки приглашений в свое кафе. Однако он не имеет права узнавать сведения о должности и месте работы клиентов, которые не нужны для данной рассылки. За подобное нарушение предпринимателя могут оштрафовать.

Обработка персональных данных

В организации необходимо разработать и утвердить локальный нормативный акт, устанавливающий порядок обработки информации о работниках. Каждого сотрудника знакомят с этим документом под подпись.

Судебная практика

Прокурор обратился в суд с иском о понуждении организации к разработке и принятию локального правового акта, устанавливающего порядок хранения и использования персональных данных работников. Требования мотивировал тем, что в ходе проверки исполнения законодательства, регламентирующего сбор, хранение, использование или распространение персональных данных, было установлено, что в нарушение требований трудового законодательства порядок хранения и использования персональных данных работников в организации не разработан. Полагал, что отсутствие этого локального нормативного акта может привести к неправомерному доступу к персональным данным не уполномоченных на то лиц.

Решением суда требование прокурора было удовлетворено. Суд обязал организацию разработать и принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников в течение 30 дней с момента вступления решения суда в законную силу.

Передача персональных данных работника другому лицу допускается только с согласия этого работника, за исключением случаев, установленных законом. Например, работодатель вправе передавать сведения о работнике по официальным запросам суда, прокуратуры, органов следствия и дознания.

ВАЖНО!

Сообщать какую-либо информацию о сотруднике по телефону недопустимо.

Судебная практика

Д. обратился в суд с иском о признании незаконной передачу работодателем его персональных данных другому лицу, взыскании морального вреда.

В судебном заседании было установлено, что организация, в которой работал Д., заключила договор с банком для реализации зарплатного проекта. Для выпуска пластиковых карт банку были переданы заполненные и подписанные работниками анкеты-заявления с их личными данными. Анкета-заявление Д. им подписана не была, согласие на передачу своих персональных данных он не давал.

Исковые требования судом были удовлетворены, несмотря на то, что полученной пластиковой карточкой Д. активно пользовался.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Также работодатель может запросить справку об отсутствии судимостей или отрицательный тест на употребление наркотиков. Ввод информации из предоставленных документов в трудовой договор отдельного согласия не требует. После его подписания работник по умолчанию разрешает обрабатывать информацию о нём, так как это необходимо для начисления заработной платы, отправки отчётности в ИФНС и в Фонды, и т.д.

При выпуске зарплатной карты допускается отсутствие согласия на обработку персональных данных, если договор был заключен сотрудником напрямую с банком. В этом случае работодателю будет передаваться ограниченная информация.

Что делать с данными, собираемыми при помощи анкетирования

Распространённым способом сбора информации о соискателе считается анкета. Она обязательно имеет указание по сроку её рассмотрения и выдачи ответа о приёме или об отказе в приёме на работу. Также к анкете предъявляются требования “Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматики”, утверждённого Постановлением Правительства РФ от 15.09.2008 №687.

Важные моменты требований:

  • в анкете указывают цель обработки персональных данных, наименование оператора и перечень действий с информацией, какие могут совершаться с ними;
  • в любом месте документа кандидату предлагают оставить отметку о согласии на обработку данных (чаще всего внизу рядом с датой и подписью);
  • в теле анкеты не должно присутствовать совмещённых полей, предполагающих указание не взаимосвязанных данных.

Если анкета высылается соискателю в электронном виде, то согласие на обработку подтверждают постановкой отметки в соответствующем поле. В любом случае, обе стороны анкетирования должны чётко понимать, что такое персональные данные работника, почему нельзя их свободно распространять. Например, электронные анкеты хранят на накопителе с закрытым от посторонних лиц доступом.

Что делать с данными, если кандидат не подошёл

При отказе в приёме на должность или при закрытии вакансии по другим причинам, персональные данные несостоявшихся работников следует удалять. Срок на исполнение этой обязанности установлен в 30 календарных дней. Если по истечении указанного периода информация осталась в базе данных работодателя, его могут привлечь к административной ответственности. Речь идет о сроках хранения законно полученных данных (из анкеты или резюме предоставленного соискателем).

В учреждениях с государственной гражданской службой срок хранения персональных данных кандидатов составляет 3 календарных года.

Тут к достоверности информации подходят более жёстко — за предоставление кандидатом искажённых предусмотрена ответственность согласно статье 19.7 КоАП РФ (штраф от 100 до 300 рублей).

Как направлять запросы на прежние места работы

Привычные вопросы о предыдущей трудовой деятельности также имеют отношение к сбору персональных данных сотрудников. Если текущий работодатель планирует запрашивать какие-либо сведения о сотруднике его бывшего работодателя, сначала нужно получить письменное согласие от сотрудника. При этом незаконно просить номера личных телефонов бывших коллег и руководителя.

Что делать с данными по уволенным работникам

Отдельно рассматриваются периоды хранения информации о людях, уволенных из организации. Их данные попали в бухгалтерский и налоговый учёт и в отчётность, и поэтому то, что касается налоговых начислений и платежей, должно храниться в течение 5 лет ().

А вот личные личные дела или личные карточки сотрудников необходимо передавать в архив для дальнейшего хранения в течение 50 лет ( Федерального закона от 22.10.2004 №125-ФЗ).

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии

Что нужно сделать в обязательном порядке:

  • разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
  • издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
  • назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
  • собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
  • организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Общие правила

Очень важно соблюдать правила хранения, так как в противном случае халатность руководства может привести к нарушению конституционного права граждан на конфиденциальность персонифицированной информации. Статьей 87 ТК РФ установлено, что порядок хранения персональных данных работника должен быть разработан и утвержден работодателями

При этом они должны учитывать все требования, которые установлены ТК и другими федеральными законами. Основные сроки содержания документов, отражающих информацию о работниках, установлены Приказом Минкультуры 2010 года № 558.

Запомните:

  • Справки, докладные, служебные записки, копии приказов, выписки из приказов, заявления, не вошедшие в состав личных дел ХРАНЯТ 5 ЛЕТ.
  • Сводные расчетные ведомости, расчетные листы на выдачу заработной платы, пособий, гонораров, материальной помощи и др. выплат; доверенности на получение денежных сумм и товарно-материальных ценностей, в том числе аннулированные доверенности о получении заработной платы и других выплат ХРАНЯТ 75 ЛЕТ.
  • Анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма лиц, не принятых на работу ХРАНЯТ 3 ГОДА.
  • Переписку по поводу перевода сотрудников ХРАНЯТ 3 ГОДА.
  • Командировочные удостоверения ХРАНЯТ 5 ЛЕТ.

С полным списком документов и сроками их хранения можно ознакомиться в Приложении к вышеназванному Приказу.

Формирование личного дела сотрудника

Личное дело представляет собой систематизированный набор бланков, в которых содержатся персональные данные работника. Это папка с документами, которые формируются и подшиваются за все время работы конкретного сотрудника в компании.

Что касается других организаций, то у них нет такой обязанности. Кадровые дела ведутся для оптимизации рабочего процесса сотрудников, а их содержание определяет сам работодатель, исходя из собственных потребностей.

Как определить срок хранения документов, содержащих персональные данные, в личном деле работника:

  • ст. 22.1 Закона от 22.10. 2004 г. № 125-ФЗ;
  • Приказ Федерального архива от 20 декабря 2019 г. N 236.

Статья № 5 закона № 152-ФЗ сформулировала требование к сроку хранения персональных данных — не дольше достижения целей обработки, за исключением условий, предусмотренных законодательством. Это правило установлено в отношении хранения самих персональных данных, а не дублирования документов, включающих их. В этом смысле обнаружение дубликатов бланков с персональными данными в личном деле или папке работника проверяющим признается нарушением законодательства об избыточности персональных данных применительно к заявленным целям их обработки.

Если хранение дубликатов документов с конфиденциальной информацией необходимо для соблюдения требований законодательства, для иных целей, определяемых работодателем (например, копии документа об образовании при направлении работника на учебу для предъявления в центр образовательного учреждения), такие дубликаты можно хранить.

Постарайтесь избавиться от практики размещения ненужных копий в папках, которые могут пригодиться «на всякий случай». Существует большой риск привлечения вас к административной ответственности, указанной в статье 13.11 КоАП, за обработку персональных данных не в целях, установленных для обработки.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

  • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» );
  • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

2. ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Как хранить личные сведения: общие требования

Условия хранения и использования персональных данных установлены законодателем. Несоблюдение требований закона сотрудниками отдела кадров влечет нарушение права граждан на конфиденциальность их личных данных, закрепленного в Конституции РФ.

В соответствии с нормами статьи 87 Трудового кодекса России, порядок хранения и обработки персональных данных сотрудников компании разрабатывается и утверждается руководителем. Та же статья Трудового кодекса регламентирует, что внутренний порядок хранения и использования личных данных сотрудников разрабатывается с учетом законодательных норм. То есть хранится личная информация с учетом требований, закрепленных в Конституции, Трудовом кодексе, ФЗ «О персональных данных» и других нормативных актах.

Сроки хранения документации с персональной информацией сотрудников закреплены Приказом Министерства культуры № 558, принятым в 2010 году. В соответствии с нормативно-правовым актом:

  • в течение 5 лет хранятся служебные и докладные записки, приказы и выписки из них, командировочные листы, а также справки, не включенные в личные дела;
  • 75 лет – расчетные ведомости и листы о начислении и выдаче заработной платы, премий, пособий и материальной помощи, а также доверенности на получение денег или материальных ценностей;
  • на протяжении 3 лет должны храниться заявления о приеме на работу или увольнении, анкеты и автобиографии, рекомендательные письма, документация, касающаяся перевода работника на другую должность или новое место службы.

Для обеспечения безопасности хранения и обработки персональных данных разрабатывается специальный акт, именуемый «Соглашением о неразглашении конфиденциальных данных», который подписывают должностные лица, получившие доступ к персональным данным работников компании: как рядовые сотрудники отдела кадров и бухгалтерии, так и руководители отделов и управлений, включая исполнительного и генерального директора компании.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормы регулирования вопросов, связанных с персональными данными, содержатся:

  • в Трудовом кодексе РФ (ТК РФ);
  • в Федеральном законе от 27.07.2006 №152-ФЗ “О персональных данных”;
  • в Кодексе РФ об административных правонарушениях (КоАП РФ);
  • в Уголовном кодексе РФ (УК РФ).

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;

  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

  • сделанных субъектом персональных данных общедоступными;

  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;

  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

  • обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

  • управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
  • работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Ответственность за распространение персональных данных

Законодательные нарушения в части хранения персональных данных караются административными штрафами и другими наказаниями вплоть до уголовного преследования. Назначаемые санкции зависят от характера и степени обнаруженных недочётов, наличия усугубляющих факторов (например, массового распространения содержимого анкет или электронных баз данных).

Нарушителям грозит:

  • штраф до 75 тысяч рублей — за сбор избыточных данных, обработку без согласия на это со стороны работника, предоставление доступа посторонним лицам;
  • штраф до 200 тысяч рублей или лишение свободы до 2 лет, запрет занимать определенные должности до 3 лет — за публикацию персональных данных в открытом доступе;
  • штраф до 300 тысяч рублей, лишение свободы до 5 лет, запрет на занятие должностей до 6 лет — если указанное выше нарушение было совершено с использованием служебного положения.

Санкции довольно суровые, поэтому чтобы не попасть под их действие, необходимо разработать Положение и организовать регламентированный сбор, хранение и передачу персональных данных на предприятии.

Ограничение времени хранения ПДн

Законодательство Российской Федерации предусматривает, что хранение персональных сведений не должно осуществляться дольше того времени, которое отведено на достижение целей, для которых они обрабатывались. В некоторых случаях это время устанавливается самим субъектом ПДн либо законодательством. Во всех остальных случаях оператор определяет и устанавливает срок нахождения данных в базе, а также условия для их удаления (прекращения использования).

Законом предусмотрено право выбора одного из этих условий: либо установить период хранения, либо установить факт прерывания обработки после наступления определенного обстоятельства. Выбор варианта зависит напрямую от вида деятельности организации. Например, для составления статистических отчетов в конце года данные больше не понадобятся, поэтому они должны быть уничтожены.

Медицинские заведения обязаны хранить ПДн длительный срок. Именно поэтому законодательство РФ позволяет выбирать операторам временные рамки либо конкретное событие для прекращения обработки имеющейся информации.

Но все-таки законом установлен срок, в пределах которого разрешено хранение ПДн. Поэтому все трудовые книжки и трудовые договоры, которые не забрал субъект, должны помещаться в специальный архив организации до их востребования. Если же документы больше не понадобятся – все равно их должны сохранять не менее 50 лет.

Трансграничная передача персональных данных

Закон устанавливает, что трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.  Чаще всего правозащитные организации осуществляют трансграничную передачу в случае отправления жалоб в Европейский суд по правам человека или в органы ООН.

Требования законодательства таковы, что если трансграничная передача осуществляется не в безопасную страну (список безопасных стран можно посмотреть здесь), то необходимо или иметь договор с субъектом персональных данных, который бы предусматривал возможность такой передачи, или необходимо получить отдельное согласие на такую трансграничную передачу.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Путеводитель по услугам
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: