Персональные данные сотрудников: что важно знать кадровику

Персональные данные сотрудников: что важно знать кадровику

08.01.2015 23766 1 0

Нормативная база

Какими документами следует руководствоваться при работе с персональными данными сотрудников предприятия?

Также рекомендуем вам обратить внимание:

Что считается обработкой персональных данных?

Действия работодателя

Должен ли работодатель получать разрешение сотрудника на обработку его персональных данных?

Однако при обычном выполнении функций работодателя нет нужды в сборе и обработке таких сведений.

Должен ли работодатель регистрировать свои базы персональных данных?

Что должен сделать работодатель, чтобы в соответствии с законом обеспечить защиту персональных данных работников?

Вот как может выглядеть такое обязательство (см. образец 1).

Директору ООО «Снег»Луценко В. Н.
Инспектора по кадрам Ромашкиной М. К.

Обязательство

17.11.14 г. (подпись) М. К. Ромашкина

Журнал учета сотрудников, имеющих доступ к персональным данным.

Всё, что нужно знать о персональных данных

Формы обратной связи, соцсети, иностранные сервера и рога оленя

Вот что вы спрашивали о персональных данных.

Консультируйтесь с юристом

Объясните вкратце для тех, кто не в курсе

За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.

Зачем придумали этот закон? Это очередной способ пополнить кормушку. Теперь и сайт нет смысла делать, будут еще штрафовать каждый месяц.

В Европе паранойя по поводу персданных уже давно

Недавно мы рассказывали, как мошенники смогли получить чужой НДФЛ. Это произошло в том числе из-за того, что кто-то нарушил правила обработки персональных данных.

У меня есть сайт. Я не ИП и не юрлицо — просто человек. Нужно ли соблюдать закон о персональных данных в таком случае?

Любое из этих действий — это обработка персональных данных. Любой, кто это действие производит, — оператор.

У меня есть электронные почты друзей, список контактов в телефоне, аккаунты разных людей в соцсетях. Получается, я тоже оператор и должен получать согласие этих людей на то, чтобы хранить и удалять их данные?

Форма обратной связи тоже попадает под действие закона?

Если в ней человек может ввести свои персональные данные — то да, попадает.

А если получаешь только имя без фамилии и номер телефона, это тоже попадает под персональные данные? А если только номер телефона?

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Никто толком не знает, какие данные персональные

В законе нет никаких исключений по теме сайта, организационно-правовой форме и набору данных.

Чтобы не рисковать, лучше сделать так.

Я делаю сайт для клиента, обрабатываю и храню данные на своей стороне. При этом владелец сайта не обязан быть оператором персональных данных?

Чтобы так делать, владелец сайта должен получить у посетителей разрешение и объяснить им, кому и зачем он передаст их данные.

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

А как они поймут, что я храню и обрабатываю данные, чтобы выписать штраф? Это в российском дата-центре можно маски-шоу устроить и вынести сервер, а за границей такие номера не проходят.

Роскомнадзор узнает о нарушениях двумя способами:

  • сам проведет проверку;
  • отреагирует на чью-то жалобу.

Сначала читать, потом подписывать

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а компанию оштрафуют.

А если у нас сайт на английском?

Вот какие признаки используют, чтобы это понять:

Могу ли я не регистрироваться в Роскомнадзоре, если поменяю поле в форме обратной связи с «Ваше имя» на «Ваша компания»?

В Роскомнадзоре должны зарегистрироваться все операторы персональных данных. Исключения только для случаев, перечисленных в п. 2 ст. 22 закона о персональных данных.

Вот публикую я пост в фейсбуке и упоминаю своего друга — значит, я данные обрабатываю? Кэш поста хранится на телефоне, значит, я данные храню? А если сделаю репост в твиттер, то я их еще и предоставляю третьей стороне. И как с этим жить?

Вы уже разрешили фейсбуку делать с вашими персданными что угодно

Так устроена любая соцсеть и общедоступные справочники.

Если на столбе объявление «Куплю рога оленя, 8 800…, Геннадий», то этот столб можно оштрафовать?

То есть если человек специально опубликовался для каких-то рекламных целей, то это не считается персональными данными? На «Авито», например.

Как правильно получить согласие на обработку персональных данных на сайте? Можно взять шаблон с сайта какой-то крупной компании?

Согласие должно быть осознанным и информированным

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Ясно. Судя по всему, я оператор персданных. Что мне конкретно делать?

Обеспечьте техническую безопасность данных и защитите их от утечки.

Закон о персональных данных — это не страшно

Центр демократии та верховенства права

О
защите персональных данных

Статья
1. Сфера
действия Закона

Настоящий
Закон регулирует отношения, связанные
с защитой персональных данных при их
обработке.

физическим
лицом — исключительно для непрофессиональных
личных или бытовых нужд;

журналистом
— в связи с исполнением им служебных или
профессиональных обязанностей;

профессиональным
творческим работником — для осуществления
творческой деятельности.

Статья
2. Определение
терминов

В
этом Законе нижеприведенные термины
употребляются в следующем значении:

обезличивание
персональных данных — изъятие сведений,
позволяющих идентифицировать личность;

Статья
3. Законодательство
о защите персональных данных

Статья
4. Субъекты
отношений, связанных с персональными
данными

Субъектами
отношений, связанных с персональными
данными, являются:

субъект
персональных данных;

владелец
базы персональных данных;

распорядитель базы персональных данных;

уполномоченный
государственный орган по вопросам
защиты персональных данных;

Статья
5. Объекты
защиты

1. Объектами
защиты являются персональные данные,
которые обрабатываются в базах
персональных данных.

2. Персональные
данные, кроме обезличенных персональных
данных, по режиму доступа являются
информацией с ограниченным доступом.

Статья
6. Общие
требования к обработке персональных
данных

2. Персональные
данные должны быть точными, достоверными,
в случае необходимости — обновляться.

Порядок
обработки персональных данных, которые
относятся к банковской тайне, утверждается
Национальным банком Украины.

Статья
7. Особые
требования к обработке персональных
данных

2. Положения
части первой настоящей статьи не
применяется, если обработка персональных
данных:

1)
осуществляется при условии предоставления
субъектом персональных данных однозначного
согласия на обработку таких данных;

2)
необходима для осуществления прав и
исполнения обязанностей в сфере трудовых
правоотношений в соответствии с законом;

5)
необходима для обоснования, удовлетворения
или защиты правового требования;

8)
касается данных, которые были обнародованы
субъектом персональных данных.

Статья
8. Права
субъекта персональных данных

2. Субъект
персональных данных имеет право:

3)
на доступ к своим персональным данным,
содержащимся в соответствующей базе
персональных данных;

9)
применять средства правовой защиты в
случае нарушения законодательства о
защите персональных данных.

Статья
9. Регистрация
баз персональных данных

Положение
о Государственном реестре баз персональных
данных и порядок его ведения утверждаются
Кабинетом Министров Украины.

2. Регистрация
баз персональных данных осуществляется
по заявочному принципу путем сообщения.

Заявление
должно содержать:

обращение
о внесении базы персональных данных в
Государственный реестр баз персональных
данных;

информацию
о владельце базы персональных данных;

информацию
о наименовании и местонахождении базы
персональных данных;

информацию
о других распорядителях базы персональных
данных;

сообщает
заявителю не позднее следующего рабочего
дня со дня поступления заявления о его
получении;

принимает
решение о регистрации базы персональных
данных в течение десяти рабочих дней
со дня поступления заявления.

Статья
10. Использование
персональных данных

Статья
11. Основания
возникновения права на использование
персональных данных

1. Основаниями
возникновения права на использование
персональных данных являются:

Статья
12. Сбор
персональных данных

3. Сообщение
не осуществляется, если персональные
данные собираются из общедоступных
источников.

Статья
13. Накопление
и хранение персональных данных

2. Хранение
персональных данных предусматривает
действия по обеспечению их целостности
и соответствующего режима доступа к
ним.

Статья
14. Распространение
персональных данных

3. Выполнение
требований установленного режима защиты
персональных данных обеспечивает
сторона, распространяющая эти данные.

Статья
15. Уничтожение
персональных данных

1. Персональные
данные в базах персональных данных
уничтожаются в порядке, установленном
в соответствии с требованиями закона.

2. Персональные
данные в базах персональных данных
подлежат уничтожению в случае:

1)
истечения срока хранения данных,
определенного согласием субъекта
персональных данных на обработку этих
данных или законом;

3)
вступления в законную силу решения суда
об изъятии данных о физическом лице из
базы персональных данных.

Статья
16. Порядок
доступа к персональным данным

4. В
запросе указываются:

4)
сведения о базе персональных данных, в
отношении которого подается запрос,
сведения о владельце или распорядителе этой
базы;

5)
перечень персональных данных,
запрашиваемых;

5. Срок
изучения запроса на предмет его
удовлетворения не может превышать
десяти рабочих дней со дня его поступления.

Запрос
подлежит удовлетворению в течение тридцати
календарных дней со дня его поступления,
если иное не предусмотрено законом.

Статья
17. Отсрочка
или отказ в доступе к персональным
данным

1. Отсрочка
доступа субъекта персональных данных
в своих персональных данных не допускается.

В
сообщении об отсрочке отмечаются:

1)
фамилия, имя и отчество должностного
лица;

2)
дата отправки сообщения;

3)
причина отсрочки;

4)
срок, в течение которого запрос будет удовлетворен.

3. Отказ
в доступе к персональным данным
допускается, если доступ к ним запрещен
по закону.

В
сообщении об отказе указываются:

1)
фамилия, имя, отчество должностного
лица, которое отказывает в доступе;

2)
дата отправки сообщения;

3)
причина отказа.

Статья
18. Обжалование
решения об отсрочке или отказе в доступе
к персональным данным

Статья
19. Оплата
доступа к персональным данным

1. Доступ
субъекта персональных данных к данным
о себе осуществляется бесплатно.

Статья
20. Изменения
и дополнения к персональным данным

Статья
21. Сообщение
о действиях с персональными данными

2. Сообщения,
указанные в части первой настоящей
статьи, не осуществляются в случае:

2)
выполнение органами государственной
власти и органами местного самоуправления
своих полномочий, предусмотренных
законом;

3)
осуществление обработки персональных
данных в исторических, статистических
или научных целях.

Статья
22. Контроль
за соблюдением законодательства о
защите персональных данных

1)
уполномоченный государственный орган
по вопросам защиты персональных данных;

2)
другие органы государственной власти
и органы местного самоуправления.

Статья
23. Уполномоченный
государственный орган по вопросам
защиты персональных данных

2. Уполномоченный
государственный орган по вопросам
защиты персональных данных:

1)
обеспечивает реализацию государственной
политики в сфере защиты персональных
данных;

2)
регистрирует базы персональных данных;

3)
ведет Государственный реестр баз
персональных данных;

6)
рассматривает предложения, запросы,
обращения, требования и жалобы физических
и юридических лиц;

7)
организует и обеспечивает взаимодействие
с иностранными субъектами отношений,
связанных с персональными данными;

8)
участвует в работе международных
организаций по вопросам защиты
персональных данных.

Статья
24. Обеспечение
защиты персональных данных в базах
персональных данных

1. Государство
гарантирует защиту персональных данных.

3. Обеспечение
защиты персональных данных в базе
персональных данных возлагается на
владельца этой базы.

4. Владелец
базы персональных данных в электронной
форме обеспечивает ее защиту в соответствии
с законом.

Статья
25. Ограничение
действия отдельных статей этого Закона

1. Ограничение
прав, предусмотренных статьями 8, 11 и 17
настоящего Закона, осуществляется
только в интересах:

1)
национальной безопасности, экономического
благосостояния и прав человека;

Статья
26. Финансирование
работ по защите персональных данных

Статья
27. Применение
положений настоящего Закона

Статья
28. Ответственность
за нарушение законодательства о защите
персональных данных

Нарушение
законодательства о защите персональных
данных влечет ответственность,
установленную законом.

Статья
29. Международное
сотрудничество

Статья
30. Заключительные
положения

1. Настоящий
Закон вступает в силу с 1 января 2011 года.

2. Кабинету
Министров Украины в течение шести
месяцев со дня вступления в силу
настоящего Закона:

обеспечить
принятие нормативно-правовых актов,
предусмотренных этим Законом;

обеспечить
приведение своих нормативно-правовых
актов в соответствие с настоящим
Законом.

Для чего могут собирать паспортные данные

Персональные данные:
строго «не»
конфиден­циально

Как защитить личную информацию

К то в группе риска?

Рассмотрим типичную ситуацию.

В компании нет службы безопасности.

А всё это значит, что:

Базу с паспортными данными клиентов могут взломать и продать на чёрном рынке.

Клиентская база может попасть к продавцам или страховщикам, которые начнут надоедать звонками и навязывать свои услуги.

Кто бы ни был мошенник – хакер или работник – украсть и «слить» информацию ему никто не помешает

Чем грозит утечка ваших персональных данных?

Как защитить свои персональные данные?

Алексей Парфентьев,
ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»

Знаете ли вы основные правила информационной безопасности?
Проверьте это с помощью нашего теста.

Что делать, если вы обнаружили свои персональные данные в интернете?

Случаи утечек информации в разных странах мира

Австралия, 2017 г.

Алексей Парфентьев,
ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»

Ссылка на основную публикацию
Adblock detector