Главная / Статьи / Перечень документов, которые должны быть в организации по персональным данным

Перечень документов, которые должны быть в организации по персональным данным


перечень документов, которые должны быть в организации по персональным данным

Закона о персональных данных.

Итак, Закон о персональных данных требует наличия:

1) документов, определяющих политику оператора — юридического лица в отношении обработки персональных данных;

2) локальных актов по вопросам обработки персональных данных;

3) локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

СИТУАЦИЯ

Руководство поставило задачу разработать политику организации в отношении обработки персональных данных. Как это сделать? Какой документ нужно издать в первую очередь?

Политика оператора в отношении обработки персональных данных представляет собой документ общего действия, касающийся персональных данных любых лиц, предоставляющих их этому оператору.


Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

  • создание проекта;
  • получение согласования от компетентных специалистов компании;
  • введение в действие путем подписания приказа;
  • доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ.

Перечень документов

Поскольку судебная практика показывает, что работодатель не вправе хранить копии личных документов работников, не имея на то достаточных оснований.

Так, Арбитражный суд Ростовской области в ноябре 2013 года рассмотрел дело № А53-12557/2013 в котором Управление Роскомнадзора по Ростовской области предъявило претензии филиалу ООО «МЕТРО Кэш энд Керри», в кадровых делах которого оно обнаружило копии паспортов и военных билетов, а также фотографии.

Суть спора

В апреле 2013 года Управлением Роскомнадзора по Ростовской области была проведена плановая выездная проверка филиала общества ООО «МЕТРО Кэш энд Керри» в г. Ростове-на-Дону.

Которые должны быть в организации по персональным данным

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

Нормативная база

Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

  • частную модель угроз для безопасности персональных сведений в информационной системе (п.
  • определить, кто будет отвечать за организацию процесса обработки личных данных;
  • ввести в работу внутренние документы;
  • обеспечивать безопасное применение и использование;
  • контролировать процесс работы с информацией;
  • предотвращать вред, если будет нарушено законодательство;
  • знакомить с правилами работы граждан, принимаемых по трудовому договору.

Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

  • реализация правил конфиденциальности;
  • пресечение неразрешенного доступа;
  • выявление фактов незаконного доступа и устранение вреда;
  • организация защиты технических средств;
  • запись резервных копий.

Назначение ответственных за хранение и обработку

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст.

Которые должны быть в организации по персональным данным в школе

Вниманиеattention
На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Из ответа «Как организовать обработку персональных данных сотрудников»

2.


Ситуация:
В каких случаях согласие сотрудника на передачу персональных данных не требуется

В отдельных случаях обработка персональных данных возможна и без согласия сотрудника.

Инфоinfo
Также существуют нормативные акты, регламентирующие особенности формирования личных дел в соответствующих ведомствах (п. 4.17 Правил, утвержденных приказом Минкультуры России от 31 марта 2015 г. № 526).

Внимание: информация, вносимая в личные дела сотрудников, содержит их персональные данные. Поэтому при ведении личных дел работодателю необходимо соблюдать требования по защите персональных данных сотрудников. Подробнее об этом см. Как организовать обработку персональных данных сотрудников.

Из ответа «Как оформить личное дело сотрудника»

5.


Ситуация
: Должен ли работодатель требовать свидетельство ИНН при приеме сотрудника на работу

При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю ряд документов (ч. 1 ст. 65 ТК РФ).

Которые должны быть в организации по персональным данным работника

Административного регламента, утвержденного приказом Минкомсвязи России от 14 ноября 2011 г. № 312, далее – Административный регламент):

– документы, в которых содержатся или могут содержаться персональные данные; – информационные системы персональных данных; – деятельность по обработке данных.

В первую очередь специалист Роскомнадзора проверит наличие уведомлений об обработке персональных данных и уведомлений о прекращении их обработки; письменных согласий сотрудников на обработку личных сведений; документов, подтверждающих уничтожение данных по достижении цели их обработки; локальных актов работодателя о работе с персональными данными (п.

Перечень документов которые должны быть в организации по персональным данным

ФЗ).

Какая-либо ответственность работодателя, принявшего сотрудника без свидетельства о присвоении ИНН, действующим трудовым или административным законодательством не предусмотрена.

Совет: если сотруднику (гражданину России) уже присвоен ИНН, однако он его не знает или не помнит, организация может уточнить его через электронный сервис на официальном сайте ФНС России www.nalog.ru («online-сервисы»/«Узнай ИНН»).

Из ответа «Какие документы нужно истребовать у сотрудника при приеме на работу»

Нина Ковязина,

заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

6.

Кроме того, в указанных документах должны быть закреплены меры по защите персональных данных работников. О необходимости применения правовых, организационных и технических мер по обеспечению их безопасности говорится в ст. 18.1 Закона о персональных данных.

В заключение отметим, что ответственность работодателя за нарушение требований законодательства в области персональных данных может наступить как по общим нормам, то есть в целом за нарушение трудового законодательства (ст. 5.27 Кодекса РФ об административных правонарушениях), так и по специальным составам административных правонарушений:

  • за непредоставление информации (ст. 5.29, 5.39 КоАП РФ);
  • нарушения в области персональных данных (ст.

3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Закона о персональных данных.

4. Осуществление внутреннего контроля и (или) аудита на предмет соответствия обработки персональных данных закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении их обработки, локальным актам оператора.

5. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к их защите, документами, определяющими политику оператора в отношении обработки этих данных, соответствующими локальными актами.

Так, согласно ст.

Передача

Бумаги, касающиеся передачи персональных данных:

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров.

Закона от 27 июля 2006 г. № 152-ФЗ).

При этом операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона от 27 июля 2006 г. № 152-ФЗ).

Таким образом, принцип конфиденциальности распространяется на любые персональные данные работников, за исключением общедоступных (п. 4 ч. 2 ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ). Т.е. тех, которые субъект персональных данных сделал таковыми (данные из открытых справочников, адресных книг и т.д.).

Для этих целей работодатель утверждает локальный акт, которым регламентируется порядок хранения и использования персональных данных работников.

Порядок резервирования и восстановления работоспособности Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн 20. Инструкция по работе со съемными носителями, содержащими персональные данные Определяет порядок работы со съемными носителями персональных данных 21. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями Оператора по обеспечению безопасности носителей персональных данных 22.
Поэтому законодатель требует размещения такого документа на официальном сайте оператора.

Локальные нормативные акты, указанные в Законе о персональных данных, напрямую затрагивают трудовые правоотношения. Поэтому работодатель должен их принять. Требование о наличии локального акта по вопросам обработки персональных данных совпадает с аналогичным требованием ТК РФ, о чем было сказано ранее.

Порядок обработки персональных данных может быть отражен в соответствующем локальном нормативном акте, там же следует зафиксировать и требования к передаче персональных данных у одного работодателя как части общего процесса обработки.

Закона о персональных данных работодатели обязаны назначить ответственного за организацию обработки персональных данных. Если это не сделано, велика вероятность, что проверяющий квалифицирует это как нарушение правил работы с персональными данными.

<…

Обязательные документы

Есть ряд документов, которые должны быть в наличии у каждого работодателя. Среди них ТК РФ называет:

  • положение о порядке обработки персональных данных работников (п.
    8 ст. 86);
  • документ, регламентирующий права и обязанности работников в области персональных данных (п. 8 ст. 86);
  • локальный нормативный акт, регулирующий передачу персональных данных в пределах одной организации, одного индивидуального предпринимателя (ст.

ФЗ.

Следует отметить, что при возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27 июля 2006 г. № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а лицо, осуществляющее обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27 июля 2006 г.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *