Журнал учета передачи персональных данных образец заполнения

  • Главная   /  Разное   /  
  • Журнал учета передачи персональных данных образец заполнения

Журнал учета передачи персональных данных образец заполнения

Содержание

Журнал ознакомления с положением о защите и обработке персональных данных

  • Персональные данные работника и их обработка
  • Положение о персональных данных работников — образец-2017
  • Положение об обработке персональных данных: образец 2017 года
  • Составляем положение о персональных данных работников — образец 2017
  • Персональные данные
  • Журнал учета передачи персональных данных
  • Лист ознакомления с приказом: образец

Персональные данные работника и их обработка Важно Готовый локальный нормативный акт утверждается приказом руководителя организации. Приказ также издается в случае внесения изменений в текст документа. Если по каким-либо причинам положение о защите личных данных отсутствует на предприятии, необходимо незамедлительно его оформить и довести его содержание до всех работников. Сотрудники, принимаемые на работу, должны прочесть положение до подписания трудового договора.

Лист ознакомления с положением о персональных данных (образец заполнения)

  • Внимание
  • Кадровое делопроизводство
  • Приказы

Приказ – это организационно-распорядительный документ. Для того, чтобы он стал обязательным к исполнению определенным работником, с этим приказом сотрудника надо ознакомить под подпись.

О том, как оформить ознакомление сотрудников с приказами организации, мы расскажем в нашей статье Из этой статьи вы узнаете:

  • как оформить лист ознакомления с приказом;
  • как подготовить лист ознакомления с графиком отпусков;
  • надо ли знакомить сотрудников со всеми приказами под подпись;
  • с какими документами надо ознакомить сотрудников под подпись.

С какими локальными актами надо ознакомить сотрудников под подпись Трудовое законодательство не устанавливает обязанность работодателя ознакамливать сотрудников абсолютно со всеми приказами и локальными актами организации.

Как заполнить журнал учета персональных данных

Важно

Образец журнала учета передачи персональных данных Скачать Порядок ведения, хранения и уничтожения Так как журнал учета персональных данных не является обязательным документом, работодатель на свое усмотрение определяет порядок манипуляций с ним. Целесообразно разработать соответствующий внутренний регламент, в котором прописано место хранения книги учета передачи данных, а также инструкцию по ее ведению.

Что касается сроков хранения журнала, то они также устанавливаются руководителем организации. При их определении рекомендуется ориентироваться на ст.
22.1 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», в соответствии с которым личные дела работников подлежат хранению в течение 75 лет. Логично, что документ, фиксирующий движение конфиденциальных данных сотрудников, следует хранить в течение этого же срока.

Как оформить положение о защите персональных данных сотрудников

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

Положение о работе с персональными данными Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение).

Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл.

  • Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан.
  • Наказание ужесточается, если виновный использовал свое служебное положение.

Административная

  • Статья 13.11 КоАП РФ предусматривает ответственность работодателя в виде предупреждения или наложения штрафа на работодателя в размере от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).

Журнал учета передачи персональных данных Как утверждается положение Утверждение положения о персональных данных работников начинается с разработки проекта. Как правило, этим занимается руководитель предприятия.

Подтверждение ознакомления с текстом оформляется на усмотрение работодателя. Наиболее удобный способ – ведение журнала ознакомления с локальными нормативными актами.

Положение о персональных данных работников — образец-2017 Сотруднику на подпись представляются только те документы, которые относятся к его трудовой деятельности и имеют прямое действие в отношение конкретного работника.

Самые важные изменения этой осени! Так, например, работодатель должен ознакомить сотрудником под подпись с определенным перечнем локальных актов организации.
В соответствии с нормами абз. 10 ч. 2 ст.

Как оформляются журналы учета персрнальных данных

Поскольку на работодателя возложена обязанность соблюдения режима конфиденциальности ПДн, в целях обеспечения его выполнения необходимо вести журнал учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, органам контроля и надзора, правоохранительным органам, и т.д. Журнал должен быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником.

В Журнале отражается наименование органа, запросившего информацию, дата, цель и результат обращения.

Журналы учета обращений уполномоченного органа с запросами ПДн работников ведутся в отделах, ответственных за прием и обработку запросов субъектов персональных данных. Руководитель отдела санкционирует создание соответствующих журналов.

I. Общие положения Начат: «___» _________________ 20 ___ г.

________ _____________ / _______________ /

«Общие положения»; II «Должности руководителей»; III «Должности специалистов»; IV «Должности младшего медицинского персонала»; V.

Работодатель обязан обеспечить защиту персональных сведений о своих работниках.

Федерации установлены Федеральным законом от 27 декабря 2002 г. №184-фз «О техническом регулировании», а объекты стандартизации и. Код дохода, состоящий из кодов вида доходов (группы, подгруппы, статьи, подстатьи, элемента), подвида доходов, кода классификации.

А именно:

  1. сведения об образовании;
  2. номер страхового свидетельства обязательного пенсионного страхования;
  3. семейное положение;
  4. паспортные данные;
  5. сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Организация работы с персональными данными

Что такое персональные данные Согласно ч.

1 на с. 76. Таблица 1.

Документы, в которых содержатся персональные данные работников (заполняется при приеме на регистрации, семейное положение, состав семьи, образование, а также данные документа, удостоверяющего воинской обязанности, необходимая работодателю для осуществления воинского учета работников обосновывают занятие определенной заработной плате, месте работы, рабочем месте, а также иные персональные данные работника увольнении и иных событиях, относящихся к трудовой деятельности Согласно Закону N 152-ФЗ лицо (юридическое или физическое)

Защита персональных данных работника

1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как: Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл.

Работодатель должен сообщить сотруднику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение. 4.

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

В журнале учета внутреннего доступа к персональным данным работников указывают:

  1. дату выдачи и возврата документов (личных дел) работникам организации;
  2. цели выдачи, наименование выдаваемых документов, срок пользования.

Журнал учета выдачи персональных данных работников организациям, государственным органам В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют:

  1. поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос);
  2. дату уведомления об отказе в предоставлении информации (в случае такового).
  3. дату передачи персональных данных;

Как организовать защиту персональных данных сотрудников


07.09.2015

Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

  • паспортные данные;
  • семейное положение;
  • сведения об образовании;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера”).

Это сведения о фактах, событиях и обстоятельствах частной жизни человека.

Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого.

Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника.

При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.
цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

  • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Обратите внимание
Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.
Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должны быть указаны:

  • цель и задачи фирмы в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в компании имеет к ним доступ;
  • как персональные данные защищаются от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя.
Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов).

Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев).

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя.

Уведомление об обработке персональных данных

Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных”, с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор.

Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки.

Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных”, соответствующие уставным задачам и осуществляемой деятельности.

В поле «категории ПД” указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются” следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором”.

В поле «правовое основание обработки ПД” указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ”, «ст. 85.1 Воздушного кодекса РФ”, «ст. 12 Федерального закона «Об актах гражданского состояния”” и др.

В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).

В поле «дата начала обработки ПД” указываются число, месяц, год фактического начала любого действия.

Источник: Бухгалтерия.ru

5 шагов по организации учета и хранения персональных данных — статья

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Политика ООО «Тойота Мотор» в отношении обработки персональных данных (выдержки)

В ООО «Тойота Мотор» обеспечивается законность обработки персональных данных и обеспечение их безопасности.

1. Назначение документа

Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и определяет основные положения по обработке персональных данных, принятые в ООО «Тойота Мотор» (далее – TMР) Положение о персональных данных.

2. Используемые термины и сокращения

ТМР – ООО «Тойота Мотор».

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – физическое лицо, к которому относится информация, содержащая персональные данные.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Машинный носитель информации (машинный носитель персональных данных) — материальный носитель, предназначенный для записи и воспроизведения информации средствами вычислительной техники, а также сопрягаемыми с ними устройствами.

Средства вычислительной техники – совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Средства вычислительной техники полностью или частично автоматизируют вычислительный процесс.

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели Политики

• Регламентация принципов и основных требований к обработке персональных данных в ТМР;

• Приведение процессов обработки персональных данных в ТМР в соответствие требованиям законодательства Российской Федерации;

• Обеспечение доступа субъектов персональных данных к информации, касающейся обработки их персональных данных в ТМР.

4. Описание процесса

6.1 Общие положения

ТМР осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ТМР организует обработку персональных данных в строгом соответствии с положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных) и других нормативно-правовых актов Российской Федерации. ТМР обеспечивает неограниченный доступ к настоящей Политике

6.2 Принципы обработки персональных данных

ТМР принимает и обеспечивает выполнение следующих принципов обработки персональных данных:

• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

• Обработке подлежат только персональные данные, которые отвечают целям их обработки.

• Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

• При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В ТМР принимаются необходимые меры по удалению или уточнению неполных или неточных данных.

• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

• ТМР, получившее доступ к персональным данным, обязано не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.3 Условия и цели обработки персональных данных

6.3.1. Состав персональных данных

В ТМР определен перечень обрабатываемых персональных данных, цели и условия обработки персональных данных. Настоящие положения зафиксированы в документе «Перечень персональных данных», принятом в ТМР.

6.3.2. Основания для обработки персональных данных

Обработка персональных данных в ТМР производится в следующих случаях:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ТМР функций, полномочий и обязанностей;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• обработка персональных данных необходима для осуществления прав и законных интересов ТМР или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

• обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, требующих обязательного обезличивания персональных данных в соответствии с законодательством Российской Федерации.

6.4 Общее описание обработки персональных данных

При обработке персональных данных ТМР совершает следующие действия (операции) или совокупность действий (операций), с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не осуществляется. Данные о состоянии здоровья работников обрабатываются в ТМР в соответствии с трудовым законодательством Российской Федерации.

Обработка сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), осуществляется для некоторых категорий субъектов персональных данных исключительно на основании согласия на обработку персональных данных в письменной форме.

Для отдельных категорий персональных данных, обрабатываемых в ТМР, допускается трансграничная передача в государства, обеспечивающие адекватную защиту персональных данных, либо в иные государства с согласия субъекта ПДн в письменной форме1. При этом ТМР выполняет требования к такой передаче, определенные законодательством Российской Федерации. В ТМР не осуществляется принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

6.5 Сроки хранения и требования к уничтожению персональных данных

Сроки хранения персональных данных в ТМР определены законодательством Российской Федерации и зависят от состава обрабатываемых данных. Перечень сроков хранения зафиксирован в документе «Перечень персональных данных», принятом в ТМР. Персональные данные, обрабатываемые в ТМР, подлежат уничтожению в следующих случаях:

• при достижении целей обработки или в случае утраты необходимости в их достижении;

• при получении соответствующего запроса от субъекта персональных данных, если это не противоречит требованиям к сроку хранения персональных данных либо документв, содержащих персональные данные, установленному федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• при получении соответствующего предписания от уполномоченного органа по защите прав субъектов персональных данных;

• по истечении определенных сроков хранения персональных данных.

6.6 Меры в области обработки и защиты персональных данных

ТМР организует выполнение следующих мер, направленных на обеспечение выполнения обязанностей в области обработки и обеспечения безопасности персональных данных:

• назначение работников, ответственных:

a. за организацию обработки персональных данных;

b. за обеспечение безопасности персональных данных в информационных системах персональных данных.

• издание и внедрение локальных актов ТМР по вопросам обработки и обеспечения безопасности персональных данных, направленных на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня их защищенности, а именно:

c. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

d. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

e. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

f. учет машинных носителей персональных данных;

g. реализация средств обнаружения фактов несанкционированного доступа к персональным данным и принимаются меры по каждому инциденту;

h. реализация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

i. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных ТМР, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

j. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

• осуществление внутреннего контроля соответствия обработки персональных данных требованиям федерального закона о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике ТМР в отношении обработки персональных данных, локальным актам ТМР;

• проведение оценки вреда, который может быть причинен субъектам персональных данных;

• ознакомление работников ТМР, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

• ознакомление работников сторонних организаций, непосредственно осуществляющих обработку персональных данных на территории ТМР, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику ТМР в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

6.7 Права субъекта персональных данных

ТМР гарантирует соблюдение прав субъектов персональных данных, определенных федеральным законом о персональных данных, а именно:

• право на уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

• право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

a. подтверждение факта обработки персональных данных ТМР;

b. правовые основания и цели обработки персональных данных;

c. цели и применяемые в ТМР способы обработки персональных данных;

d. место нахождения ТМР, сведения о лицах (за исключением работников ТМР), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ТМР или на основании федерального закона;

e. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

f. сроки обработки персональных данных, в том числе сроки их хранения;

g. порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

h. информацию обосуществленной или о предполагаемой трансграничной передаче данных;

i. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ТМР, если обработка поручена или будет поручена такому лицу;

j. иные сведения, предусмотренные Федеральным законом о персональных данных.

• права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации;

• права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки иго персональных данных; • других, предусмотренных федеральными законами.

Дополнительную информацию, касающуюся обработки и обеспечения безопасности персональных данных, субъект персональных данных может получить, направив официальный запрос ТМР в соответствии с федеральным законом о персональных данных.

Перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, определяется в соответствии с Федеральным законом «О персональных данных» и нормативными актами уполномоченного органа по защите прав субъектов персональных данных.

В целях соблюдения требований безопасности к работе с электронными информационными системами, «Электронный журнал ЭлЖур» выполняет все предусмотренные российским законодательством и отраслевыми стандартами для интернет-базированных информационных систем мероприятия по обеспечению и профилактике безопасности всех категорий данных, подлежащих обработке в системе в целях исполнения обязательств по предоставлению сервиса образовательным учреждениям, их работникам, учащимся и их родителям.

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» компания-разработчик системы ЭлЖур (ООО «Веб-Мост») прошла процедуру регистрации в реестре операторов, осуществляющих обработку персональных данных.

27 апреля 2015 г. ООО «Веб-Мост» успешно прошло проверку Роскомнадзор на соблюдение положений действующего законодательства при организации обработки и защиты персональных данных в АИС «Электронный журнал ЭлЖур».

Регистратор: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
Основание: Приказ № 45 от 23.03.2015
Регистрационный номер оператора: 12-0237729
Выписка из реестра: PDF, 127Kb · Портал ПДн Уполномоченного органа

Общие принципы и порядок обработки персональных данных, а также меры по обеспечению их безопасности определены в Политике ООО «Веб-Мост» в отношении обработки персональных данных и сведениях о реализуемых требованиях к защите ПДн (PDF, 430Kb).

Обеспечение безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ и ФСТЭК России, организовано с использованием программного обеспечения и средств защиты информации, сертифицированных ФСТЭК и ФСБ. Соответствие применяемых технических средств, организационной структуры, нормативного и методического обеспечения требованиям руководящих документов ФСТЭК России, предъявляемых к информационной системе второго класса защищенности (К 2) и второго уровня защищенности персональных данных (УЗ 2) подтверждено аттестатом соответствия № 8/АС/17 от 18.05.2017 г.

Соответствие АИС «Электронный журнал ЭлЖур» требованиям по безопасности информации подтверждено аттестатом соответствия № 8/АС/17 от 18.05.17 г.

Уважаемые пользователи!

Мы делаем все, что в наших силах, чтобы данные, вводимые в журнал, хранились в целости и сохранности, и не устаем обращать ваше внимание: самым уязвимым местом для нарушения сохранности данных, хранящихся в системе, является ваше несерьезное отношение к вопросам безопасности!

Поэтому напоминаем вам: при регистрации придумайте для своего входа в систему нетривиальный пароль (не дату/год вашего рождения, не имя, не номер школы и т. п.), а придумав, запомните его или сохраните в надежном месте (не наклеивайте его на монитор, не храните под стеклом письменного стола), меняйте его регулярно. Отдельно хотим сказать учителям, что в вашем случае несанкционированный вход третьих лиц под вашим логином может повлечь негативные последствия не только лично для вас, но также и для всех ваших учеников и их родителей.

Ведение реестра операторов, осуществляющих обработку персональных данных

В соответствии с требованиями части 2 статьи 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (Далее — Федеральный закон «О персональных данных») оператор – это государственный или муниципальный орган, юридическое или физическое лицо, организующее или осуществляющее обработку персональных данных с определенными целями.

В соответствии со статьей 22 Федерального закона «О персональных данных» операторы, осуществляющие обработку персональных данных, обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Уполномоченным органом по защите прав субъектов персональных данных (далее Уполномоченный орган), на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (часть 1 статьи 23 Федерального закона «О персональных данных»).

Обязанность предоставления уведомления об обработке персональных данных возложена ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» на всех лиц, осуществляющих обработку персональных данных, за исключением случаев обработки данных, указанных в ч. 2 ст. 1, ч. 2 ст. 22 указанного Федерального закона.

Уведомление можно заполнить на Интернет-портале Роскомнадзора, посвященном защите прав субъектов персоналных данных http://pd.rkn.gov.ru/operators-registry/notification/

Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных и направляется в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Уведомление должно быть направлено в виде бумажного документа и подписано уполномоченным лицом или направлено в виде электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.

Согласно части 4 статьи 25 Федерального закона «О персональных данных» операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее — Уведомление), предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

В соответствии со ст. 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований настоящего Федерального Закона, несут гражданскую, дисциплинарную, административную, уголовную и иную ответственность, предусмотренную законодательством Российской Федерации.

Реестр операторов, осуществляющих обработку персональных данных, опубликован на специальном портале Роскомнадзора, посвященном защите прав субъектов персональных данных pd.rkn.gov.ru

Приказ Роскомнадзора от 30 октября 2018 года № 159 «О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»

Методические рекомендации по уведомлению уполномоченного органа то начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденые приказом Роскомнадзора от 30.05.2017 № 94;

Форма Заявления на исключение Оператора из РОПД;

Форма Заявления на предоставление Выписки из РОПД;

Характерные ошибки при заполнении форм Уведомления об обработке (о намерении осуществлять обработку) персональных данных и Информационного письма о внесении изменений в сведения в реестре Операторов, осуществляющих обработку персональных данных;

6. Проверка на наличие в реестре.

Время публикации: 30.03.2016 14:45
Последнее изменение: 30.05.2019 16:40

Посмотреть еще:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *