Требования к оборудованию кабинета при обработке персональных данных

Содержание
  1. Требования к оборудованию кабинета при обработке персональных данных
  2. Лицензия – получать или не получать?
  3. Что означает термин «персональные данные»?
  4. Политика в отношении персональных данных
  5. Обеспечение безопасности персональных данных при их обработке
  6. Работа с персональными данными
  7. Требования к режимным помещениям и их оборудованию
  8. Требования к размещению в здании
  9. Оборудование режимных помещений
  10. Защита от несанкционированного доступа посторонних лиц
  11. Путеводитель по кадровым вопросам персональные данные работников
  12. Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru
  13. Разберемся с терминами
  14. Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил
  15. Чем грозит невыполнение требований по обработке персональных данных
  16. Выводы
  17. Основные нормативные документы, касающиеся обработки персональных данных
  18. 5 шагов по организации учета и хранения персональных данных
  19. Какие данные являются персональными
  20. Обработка персональных данных
  21. Организация учета и хранения персональных данных
  22. Подведем итоги

Требования к оборудованию кабинета при обработке персональных данных

Требования к оборудованию кабинета при обработке персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос «Требования к оборудованию кабинета при обработке персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции.

Использование персональных данных возможно только в соответствии с целями, определившими их получение.

Лицензия – получать или не получать?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы.

В позиции “Перечень действий с персональными данными…” указать: “Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”.

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации. В связи с этим представляется целесообразным рассмотрение основных аспектов организации автоматизированной обработки персональных данных (ПД) пациентов.

Документ необходим для определения круга лиц, которые будут допущены к к обработке персональных данных в компании.

Что означает термин «персональные данные»?

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных.

Политика в отношении персональных данных

Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.

С момента вступления в силу Закона №152-ФЗ обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с таким законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению.

Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Исключение составляют сети, не обменивающиеся информацией с внешним миром. Но таких, наверное, и не бывает.

Обеспечение безопасности персональных данных при их обработке

Документ необходим для определения информационных систем в которых будут обрабатываться персональные данные.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством.

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Работа с персональными данными

Источник: https://l4dpro.ru/vozvrat-tovarov/9245-trebovaniya-k-oborudovaniyu-kabineta-pri-obrabotke-personalnykh-dannykh.html

Требования к режимным помещениям и их оборудованию

Требования к оборудованию кабинета при обработке персональных данных

Автор Сергей в 10 мая 2020. Лицензирование ФСБ

При подготовке помещений режимно-секретного подразделения учитывается ряд требований к размещению их в здании, планировке и оснащению.

Использовать помещения для работы с государственной тайной или иной конфиденциальной информацией можно только после аттестации выделенных помещений: комиссия специалистов проверит защищенность помещений, автоматизированных рабочих мест, и выдаст аттестат. Такое обследование необходимо делать каждые 5 лет, а также после ремонта или реконструкции помещений.

Требования к режимным помещениям и их оборудованию содержатся в «Типовых нормах и правилах проектирования помещений для хранения носителей сведений, составляющих государственную тайну, и работы с ними», утвержденных Решением Межведомственной комиссии по защите государственной тайны от 21.01.2011 N 199. Их неукоснительное соблюдение позволяет обеспечить ведение секретного делопроизводства без риска утечек гостайны.

Требования к размещению в здании

Планируя комнаты для размещения режимно-секретного подразделения для фирмы с лицензией ФСБ нужно учитывать повышенные требования безопасности, прежде всего в плане физического проникновения или отслеживания происходящего в кабинетах. Поэтому:

  • помещения РСП нежелательно размещать на первом и последнем этаже. Допустимо оборудовать РСП на первом этаже в случае, когда окна помещений выходят в закрытый контролируемый двор;
  • окна помещений режимно-секретного отдела, а также помещений, используемых для хранения носителей гостайны, по возможности не должны соседствовать с пожарными и эвакуационными лестницами, крышами пристроек, выступами на стенах, балконами и прочими элементами, с которых в помещения могут проникнуть посторонние лица;
  • режимные помещения рекомендуется группировать и размещать в «непроходной» части здания, которая редко используется сотрудниками при выполнении служебных обязанностей, не связанных с доступом к государственной тайне.

Минимальное количество кабинетов РСП должно включать в себя:

  • кабинет руководителя режимно-секретного подразделения;
  • комната для хранения секретных документов и иных носителей гостайны;
  • комната для выдачи и приёма секретных документов и иных носителей государственной тайны;
  • комната для работы с секретными документами;
  • комната для работы со средствами криптозащиты;
  • комната-архив и библиотека;
  • комната хранения архива и библиотеки секретных документов;
  • комната для хранения категорированных системных блоков ПЭВМ.

Для выдачи документов помещение оборудуется окном выдачи (оно не должно выходить в коридор), либо в рабочей комнате делается барьер-перегородка.

Оборудование режимных помещений

Стены или перегородки между обычными и защищенными помещениями должны быть бетонными, железобетонными или металлическими с толщиной стен — от 10 см, или кирпичными с толщиной стен от 12 см.

В помещениях для работы с гостайной и хранилищах секретных документов устанавливаются усиленные двери, обеспечивающие надежное закрытие. Двери с двух сторон обшиваются металлическим листом не менее 2 мм толщиной, внутри — звукоизоляционный материал, сама дверь должна иметь толщину не менее 4 см. Дверь устанавливается на металлический каркас.

Обязательно устанавливается противопожарное перекрытие между блоком режимных помещений и остальными комнатами в здании.

По требованиям безопасности режимных помещений, если окна комнат и хранилищ находятся рядом с водостоком, эвакуационной лестницей, крышами стоящих вблизи зданий, на первом или последнем этаже, каждое окно оборудуется выдвижными ставнями или створками с металлической решеткой, которая крепится к железным конструкциям оконного проема в стене.

Все режимные помещения оборудуются аварийным освещением.

Что касается оборудование помещений для работы с гостайной по требованиям технической безопасности, вся аппаратура, периферия и ПО должны быть сертифицированы и соответствовать требованиям ФСТЭК, предъявляемым к оснащению защищенных и выделенных помещений.

Перед началом эксплуатации необходимо проверить выделенные и иные режимные помещения проверить на предмет наличия «жучков» и иных средств несанкционированного получения информации.

В дальнейшем такие проверки желательно проводить периодически, чтобы исключить возможность утечки.

Защита от несанкционированного доступа посторонних лиц

Для предотвращения доступа посторонних лиц в режимные помещения требуется установить замки. Для более надежной защиты можно устанавливать кодовые и электронные замки, а также автоматические турникеты.

Замки хранилищ и архивов секретной документации, а также помещений, где таковые находятся, должны быть опечатаны по окончании каждого рабочего дня разными печатями. Пластилин или сургуч накладываются так, чтобы его нельзя было снять, не повредив.

Замки предусматривают два комплекта ключей, один из которых в опечатанном пакете хранится у начальника службы безопасности РСП. Другой комплект также в опечатанном виде хранится у директора предприятия или у его заместителя.

Помещения, где хранятся секретные документы и носители гостайны, оборудуются охранной и аварийной сигнализацией, которая выводится на пульт дежурного по организации, на пульт караульного помещения, а также на пульт централизованной службы наблюдения за сигнализацией.

Доступ в режимные помещения ограничен:

  • руководитель РСП и его заместители, начальник службы охраны, руководитель предприятия и его заместители.
  • сотрудники, служебные обязанности которых требуют работы с секретными документами в помещения получения секретных документов и носителей гостайны и в помещениях для работы с секретными документами) — на основании соответствующего разрешения и в соответствии с имеющейся формой допуска.

Конечно, это лишь общие требования, предъявляемые к режимному помещению. Если вам нужна помощь в подготовке помещений для работы с гостайной, обращайтесь к нашим специалистам. Мы поможем выполнить все требования к режимным помещениям и получить лицензию ФСБ. Звоните!

Трекбэк с Вашего сайта.

Источник: https://licenziya-fsb.com/trebovaniya-k-rezhimnym-pomeshheniyam

Путеводитель по кадровым вопросам персональные данные работников

Организация рабочих мест сотрудников при работе с персональными данными Рациональная и эффективная организация рабочих мест сотрудников отдела кадров, обрабатывающих персональные данные работников предприятия, включает в себя ряд требований.

Сертификация ФСТЭК России необходима для проведения успешных аттестаций информационных систем, особенно в случае применения ими систем обработки персональных данных. Пакет документов включает специальный знак соответствия ФСТЭК с уникальным номером, идентифицирующим данный экземпляр в системе государственного учета сертифицированных продуктов.

В комплект поставки входит специальная документация для настройки и контроля сертифицированных параметров данного программного обеспечения. Словарь кадрового делопроизводства.

Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними, возлагаются на ООО «Городской центр начисления коммунальных платежей» как оператора, осуществляющего обработку персональных данных. 3.3. Ответственным за обеспечение безопасности ПДн при их обработке в ИСПДн ООО «Городской центр начисления коммунальных платежей» назначен заместителя директора по общим вопросам. Функции по разработке и осуществлению мероприятий по организации и обеспечению безопасности ПДн возложены на заместителя директора по общим вопросам.

3.4.

Своевременное получение работниками информации, необходимой для выполнения порученных операций, в течение всего рабочего времени обеспечивается: — наличием достаточного свободного пространства между рабочими местами, не затрудняющего подход к ним и проход между ними; — размещением на столах минимально необходимого для выполнения повседневной работы количества документов (материалов), на рабочем столе должен находиться только тот документ и материалы к нему, с которыми в настоящее время работает сотрудник. Другие документы должны быть размещены в закрытом сейфе; — оборудованием рабочих мест средствами внутренней телефонной связи; — соблюдением в служебных помещениях порядка и тишины; — в связи с конфиденциальностью персональных данных работников необходим запрет на фотографирование, видеосъемку, несанкционированное копирование в помещениях отдела кадров. 8.
Работник, осуществляющий хранение архивов и/или резервных копий ИСПДн, должен иметь печать для опечатывания дверей и сейфа или металлического хранилища. 7.13. Выполнение требований по обеспечению ИБ на рабочих местах осуществляется работниками, работающими в помещениях ограниченного доступа. 7.14. Ответственность за невыполнение требований по ИБ для помещений ограниченного доступа несут руководители структурных подразделений, работники которых работают в этих помещениях. 8. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных сотрудника 8.1. Лица, виновные в нарушении требований, регулирующих получение, обработку и хранении персональных данных сотрудника несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. 8.2.Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности; угроза или опасность утраты персональных данных – единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию. 2. Общие положения 2.1. Настоящее положение разработано на основе Федерального закона от 27 июля 2006 г.Закона о персональных данных. Наиболее ярким примером выражения такой позиции являются случаи запроса акционерами трудового договора с директором общества. Меры по защите персональных даных сотрудников • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере; • утверждение перечня документов, содержащих персональные данные; • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением; • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации; • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся данные; • утверждение порядка уничтожения информации; • выявление и устранение нарушений требований по защите персональных данных; • проведение профилактической работы с сотрудниками по предупреждению разглашения ими.

Внимание

При необходимости использования Интернета на рабочих местах обязательным условием является обеспечение вычислительной системы межсетевым экраном с использованием сертифицированного программного обеспечения. 5.

Рабочие места, предназначенные для выполнения работы, требующей высокой концентрации внимания или значительного умственного напряжения, целесообразно ограничить перегородками высотой 1,5 — 2,0 м. 6.

С целью создания и поддержания необходимого комфорта, способствующего эффективному труду, рабочие места оборудуются однотумбовыми столами, обеспечивающими удобное размещение вычислительной и оргтехники, а также основных предметов труда, постоянно используемой в работе литературы, карточек и лотков.

В ящиках тумбы стола хранятся документы, используемые в работе в течение дня, а также вспомогательные предметы труда (канцелярские принадлежности).

Создание и поддержание на рабочих местах и в служебных помещениях оптимального микроклимата. 9. Защита работников от воздействия вредных факторов производственной среды. Шумящее оборудование, уровни шума которого превышают нормативные, должно размещаться в специально отведенных для этого помещениях.

10.

Регулярное проведение в служебных помещениях и на рабочих местах комплекса работ по техническому обслуживанию и профилактике, а также необходимых санитарно-гигиенических мероприятий. Уборка помещений допускается только в присутствии сотрудников отдела кадров. Мусор уничтожается. Все помещения оборудуются средствами пожаротушения и охранной сигнализацией.

11. Постановку на охрану и снятие с охраны помещений отдела кадров осуществляет начальник отдела или его заместитель.
В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, персональные данные должны быть уничтожены.

Об устранении допущенных нарушений или об уничтожении персональных данных ООО «Городской центр начисления коммунальных платежей» как оператор ПДн, обязан уведомить субъекта ПДн, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган; — хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 5. Порядок предоставления информации, содержащей персональные данные 5.1.

Источник: https://1privilege.ru/trebovaniya-k-oborudovaniyu-kabineta-pri-obrabotke-personalnyh-dannyh/

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Требования к оборудованию кабинета при обработке персональных данных

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

5 шагов по организации учета и хранения персональных данных

Требования к оборудованию кабинета при обработке персональных данных

Сохранности персональных данных стоит уделить особое внимание, так как с прошлого года законодатель ужесточил ответственность для работодателя за несоблюдение обязанности по их защите. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и как организовать правильный учет и хранение персональных данных сотрудников.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://School.Kontur.ru/publications/1583

Знайте о своих правах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: