Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Перечень документов содержащих персональные данные

Перечень документов содержащих персональные данные

Чек-лист. Какие документы по персональным данным должны быть у юридического лица для успешного прохождения проверки Роскомнадзора? — DocShell 4.0

  1. | 503
  2. 20.06.2019
  3. | Обработка ПДн

В последнее время скандалы, связанные с утечкой персональных данных, приобрели невиданный прежде масштаб.

Подобные инциденты происходят все чаще. Финансовый и репутационный ущерб от их реализации становится все более ощутимым для компаний, а практика показывает, что даже у корпоративных гигантов отсутствует 100% уверенность в защищенности своей конфиденциальной информации. Тем не менее, угроза эта касается не только крупных коммерческих организаций.

Оператором персональных данных согласно российскому законодательству является любое юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.

При этом исчерпывающего списка, что же является персональными данным, нет, но мы можем выделить самые важные из них: адрес места регистрации и/или проживания; номер банковской карты и/или лицевого счета. Исходя из списка выше, можно понять, что в качестве оператора персональных данных может выступать любая организация, которая обрабатывает данные своих сотрудников. Следовательно, под проверку Роскомнадзора может попасть каждая организация.

Что первым проверит Роскомнадзор? Роскомнадзор, конечно, не будет следить круглосуточно за вашей организацией.

Первое, на что обратит внимание регулятор во время проверки, — наличие и актуальность документов, регламентирующих порядок сбора, хранения, обработки и уничтожения персональных данных граждан.

Эта организационно-распорядительная документация является фундаментом успешной и эффективной системы защиты информации, и потому очень важна. ОРД определяет ответственных лиц, их обязанности, порядок работы с данными, уровень доступа, алгоритмы реагирования в случае возникновения инцидентов и другие важные нюансы.

Весь перечень документации, регламентирующей деятельность оператора ПДн, содержится более чем в 30 нормативно-правовых актах. Чтобы разобраться в них и выделить главное – понадобится большое количество времени.

Для вашего удобства мы собрали весь список, требуемых законодательством документов по персональным данным, в единый чек-лист. Данный список поможет вам определить уровень готовности вашего пакета ОРД к проверкам регулятора.

Документы, содержащие персональные данные


Стр 1 из 7ПЕРСОНАЛЬНЫЕ ДАННЫЕ 1.

Понятие персональных данных >>> 2.

>>> 3. Право работников на защиту своих персональных данных >>> Понятие персональных данных Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных)). К ним относятся: — фамилия, имя, отчество; — пол, возраст; — образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; — место жительства; — семейное положение, наличие детей, родственные связи; — факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); — финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.); — деловые и иные личные качества, которые носят оценочный характер; — прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.

Ситуация из практики.Относится ли фотография работника к персональным данным?

В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия. Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными.
Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными.

Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.

Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч.

работника) без его согласия не допускается.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Требования к обработке персональных данных >>> 2. Условия обработки персональных данных. Согласие работника на обработку его персональных данных >>> 3. Обработка персональных данных без использования средств автоматизации >>> 4. Обработка персональных данных с использованием средств автоматизации >>> Требования к обработке персональных данных В соответствии со ст.
Обработка персональных данных с использованием средств автоматизации >>> Требования к обработке персональных данных В соответствии со ст.

3 Закона о персональных данных обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы: 1) обработка должна осуществляться на законной и справедливой основе; 2) обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка, несовместимая с целями сбора персональных данных; 3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 4) обработке подлежат только те персональные данные, которые отвечают целям обработки; 5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки; 6) при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях — актуальность по отношению к целям обработки.

Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных; 7) форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Оформление журналов учета персональных данных Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам. В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел).

Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые. Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана. Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними.

В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника. Требования к помещению, где хранятся персональные данные Работодатель обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных работников от неправомерного использования или утраты либо обеспечить принятие таких мер.

Это следует из п. 7 ст. 86 ТК РФ, ч.

1 ст. 19 Закона о персональных данных. В частности, работодатель может предусмотреть в локальном нормативном акте требования к помещениям, в которых находятся носители информации (например, компьютеры с базами данных, документы на бумажных носителях), содержащие персональные данные работников. Обращаем внимание, что Закон о персональных данных и Трудовой кодекс РФ не устанавливают каких-либо требований к упомянутым помещениям.

Представляется, что работодатель может определить особый режим доступа в них, требования к оборудованию, установить перечень лиц, имеющих право доступа в данные помещения.

Такие выводы следуют из анализа ч. 1, 2 ст. 19 Закона о персональных данных, ч. 1 ст. 8, абз. 7 ч. 1 ст. 22, ст.

87 ТК РФ. Исходя из п. 21 Методических рекомендаций по ведению воинского учета в организациях (утв. Генштабом Вооруженных Сил РФ 11.04.2008) документы воинского учета, содержащие персональные данные работников, рекомендуем хранить в железных шкафах в специально оборудованных помещениях. Защита персональных данных Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры: — установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей; — установить особый порядок выдачи пропусков и удостоверений работников; — использовать технические средства охраны; — использовать программно-технический комплекс защиты информации на электронных носителях и пр. Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее: — ограничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников; — избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными; — рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации; — регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных; — создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников; — определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные; — организовать порядок уничтожения информации; — своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников; — проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений. Оформление обязательства о неразглашении персональных данных работниками, имеющими доступ к этим данным В соответствии с п.

7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей.

При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 N 2). Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.
Следовательно, работодатель должен оформить с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, обязательство об их неразглашении.

См. образец составления обязательства. Оформление Положения о персональных данных В соответствии со ст.

68 ТК РФ при приеме на работу (до подписания трудового договора) работодатель обязан ознакомить работника под роспись с правилами внутреннего трудового распорядка, иными локальными нормативными актами, непосредственно связанными с трудовой деятельностью. Поскольку из содержания п. 1 ст.

86 ТК РФ следует, что персональные данные работников обрабатываются исключительно в связи с трудовой деятельностью, то локальные нормативные акты, регламентирующие обработку персональных данных, являются документами, связанными также с их трудовой деятельностью. Следовательно, со всеми локальными нормативными актами, регламентирующими обработку персональных данных, работник должен быть ознакомлен до подписания трудового договора. Структура Положения о персональных данных может быть следующей: 1) «Общие положения».

В данном разделе следует указать, с какой целью принимается данное Положение и какие вопросы оно регулирует; 2) «Основные понятия. Состав персональных данных работников».

Здесь следует указать, какие документы в организации содержат персональные данные; 3) «Обработка персональных данных». В этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника; 4) «Передача персональных данных».

Здесь следует прописать порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам; 5) «Доступ к персональным данным».

В данном разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ делится на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов); 6)

«Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных»

. В данном разделе нужно указать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

См. образец составления Положения. Оформление согласия работника на передачу его персональных данных В соответствии со ст.

88 ТК РФ передача персональных данных работника третьей стороне без письменного согласия указанного работника не разрешается, за исключением предусмотренных законом случаев. Также данной статьей предусмотрено, что без согласия работника персональные данные не могут передаваться в коммерческих целях.

Соответственно, для передачи персональных данных необходимо письменное согласие работника. Из указанного документа должно быть понятно, кому будут передаваться персональные данные работника и с какой целью. Следует также учитывать, что в соответствии со ст. 88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
88 ТК РФ работодатель обязан предупредить лиц, получающих персональные данные, о том, что данные сведения могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. См. образец составления согласия.

См. образец составления письма. См. образец составления ответа.

ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных >>> 2.

Ответственность работника, имеющего доступ к персональным данным других работников >>> 2.1. Административная ответственность работника, имеющего доступ к персональным данным других работников >>> 2.2. Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников >>> 2.3.

Уголовная ответственность работника, имеющего доступ к персональным данным других работников >>> 2.4. Материальная ответственность работника, имеющего доступ к персональным данным других работников >>> 2.5.

Гражданско-правовая ответственность работника, имеющего доступ к персональным данным других работников >>> Дисциплинарная ответственность работника, имеющего доступ к персональным данным других работников Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения этого лица к дисциплинарной ответственности (ст.

90 ТК РФ). Согласно пп. «в» п.

6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе по причине разглашения персональных данных другого работника. Поскольку такое увольнение относится к увольнениям за нарушение трудовой дисциплины, то работника, разгласившего персональные данные, необходимо уволить с соблюдением процедуры, предусмотренной ст.

193 ТК РФ. Подробнее об этом см. «Путеводитель по кадровым вопросам.

Дисциплинарные взыскания. Замечание, выговор, увольнение». Подробнее об этом см. «Путеводитель по кадровым вопросам.

Расторжение трудового договора». ПЕРСОНАЛЬНЫЕ ДАННЫЕ 1. Понятие персональных данных >>> 2.

>>> 3. Право работников на защиту своих персональных данных >>> Понятие персональных данных Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных)).

К ним относятся: — фамилия, имя, отчество; — пол, возраст; — образование, квалификация, профессиональная подготовка и сведения о повышении квалификации; — место жительства; — семейное положение, наличие детей, родственные связи; — факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); — финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.); — деловые и иные личные качества, которые носят оценочный характер; — прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора. Подробнее об этом см. п. 2 настоящего материала.

Ситуация из практики.Относится ли фотография работника к персональным данным? В действующем законодательстве прямо не установлено, что фотография относится к персональным данным.

Однако работодатель не может использовать фотографию работника без его согласия. Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными.

Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п.
В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п.

1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя.

Тем не менее согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч.

работника) без его согласия не допускается. В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст.

3 Закона о персональных данных, такие сведения могут содержаться в следующих документах: — анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу.

В этих документах содержатся анкетные и биографические данные работника; — копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа; — личная карточка N Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.; — трудовая книжка или ее копия.

Содержит сведения о трудовом стаже, предыдущих местах работы; — копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством; — документы воинского учета.

Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников; — справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством; — документы об образовании.

Подтверждают квалификацию работника, обосновывают занятие определенной должности; — документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов; — трудовой договор.

В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника; — подлинники и копии приказов по личному составу.

В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника; — при необходимости — иные документы, содержащие персональные данные работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных. Стр 1 из 7 : для животных. Схемы и конструкции.

: Система дренажа выбирается в зависимости от характера защищаемого.

: схема и процесс работы устройства. : дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни. Перейти на © 2017-2020 — Не является автором материалов.

Исключительное право сохранено за автором текста. Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: 0.017 с.

Пакет документов для обработки персональных данных на сайте

Здравствуйте, хотим выпустить на рынок сайт и мобильное приложение к нему. В рамках их деятельности будет производиться обработка персональных данных при регистрации.

ФИО, возраст, адрес и т.д. Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор. Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной. Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).

— Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации. — Журнал учета машинных носителей информации с персональными данными.

Нужно ли что- то еще либо тут что-то лишнее?

19 Сентября 2017, 09:09, вопрос №1755469 Ольга, г. Самара 600 стоимость вопросавопрос решён Свернуть Консультация юриста онлайн Ответ на сайте в течение 15 минут Ответы юристов (3) получен гонорар 50% 10,0 Рейтинг Правовед.ru 13485 ответов 4756 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Адвокат, г.

Москва Бесплатная оценка вашей ситуации

  1. эксперт
  2. 10,0рейтинг

Добрый день, Ольга.По поводу Вашего списка, то из него можно отказаться от:— Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн— Положение об обеспечении безопасности автоматизированной информационной системы организации.Остальные документы нужно оставить.Единственное надо понимать, что:— Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).Это два разных документа, то есть у Вас отдельно должна быть политика конфиденциальности на сайте и отдельно пользовательское соглашение, в соглашении при этом должна быть ссылка на политику конфиденциальности.Какие-либо дополнительные документы не требуются, главное, чтобы обозначенные документы подходили конкретно к Вам.С Уважением,Васильев Дмитрий. 19 Сентября 2017, 09:23 1 0 получен гонорар 50% 3382 ответа 3324 отзыва Общаться в чате Бесплатная оценка вашей ситуации Юрист, г.

Москва Бесплатная оценка вашей ситуации Добрый день, Ольга!Мы поняли, что нужно зарегистрироваться в Роскомнадзоре как оператор.ОльгаНе совсем так.

Не «зарегистрироваться», а уведомить Роскомнадзор по соответствующей форме о начале обработки персональных данных.Хотелось бы точно понять какой нужен необходимый пакет документов, чтобы обработка данных была полностью законной.ОльгаПо сути, Вам нужно как минимум два документа:

  • Собственно, само уведомление в Роскомнадзор;
  • Соглашение с пользователями.

Составили примерный список: — Положение о персональных данных; — Приказ об утверждении положения; — Приказ о назначении ответственного лица; — Политика в отношении обработки и безопасности персональных данных; — Пользовательское соглашение в приложении и на сайте (политика конфиденциальности).

— Инструкция ответственного за организацию обработки персональных данных — Приказ о выделении помещений для обработки персональных данных + правила доступа — Приказ о назначении ответственного за выполнение работ по технической и криптографической защите ПДн — Положение об обеспечении безопасности автоматизированной информационной системы организации.

— Журнал учета машинных носителей информации с персональными данными.ОльгаЭто всё в принципе тоже нужно, как раз в уведомлении Вы укажите, каким образом Вы будете обеспечивать сохранность данных и чем это регламентируется. 19 Сентября 2017, 09:23 2 0 10,0 Рейтинг Правовед.ru 15065 ответов 6765 отзывов эксперт Общаться в чате Бесплатная оценка вашей ситуации Юрист Бесплатная оценка вашей ситуации

  1. 10,0рейтинг
  2. эксперт

Здравствуйте Ольга.Согласно принятым рекомендациям Роскомнадзора, операторам, осуществляющим обработку персональных данных необходимо подать соответствующее уведомление в Роскомнадзор.Согласно:Министерство связи и массовых коммуникаций Российской ФедерацииФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙПРИКАЗот 30 мая 2017 года N 94Об утверждении Методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения3.

Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:3.1.1.

Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:3.1.1.1.

Для юридических лиц (Операторов): полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных; наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).3.1.1.2. Для физических лиц: фамилия, имя, отчество (при наличии) физического лица (Оператора); адрес Оператора; данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ; индивидуальный номер налогоплательщика (ИНН, при наличии).3.1.1.3.

Для государственных и муниципальных органов (Операторов): полное и сокращенное наименование государственного, муниципального органа; наименование территориальных органов, осуществляющих обработку персональных данных; адрес Оператора; индивидуальный номер налогоплательщика (ИНН); основной государственный регистрационный номер (ОГРН).При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (, , , ОКОП, ).3.1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.3.1.3.

Категории персональных данных.

Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.3.1.4.

Категории субъектов, персональные данные которых обрабатываются.Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором), и др.).3.1.5.

Правовое основание обработки персональных данных.Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора.

Не рекомендуется указывать в качестве правового основания .

Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:- неавтоматизированная обработка персональных данных;- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;- смешанная обработка персональных данных.При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.3.1.7. Описание мер, предусмотренных и , предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств представляются следующие сведения:а) наименование используемых криптографических средств;б) класс средств криптографической защиты информации (СКЗИ).Данную информацию рекомендуется представлять на основании .3.1.8.

Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.3.1.9. Дата начала обработки персональных данных.Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).3.1.10. Срок или условие прекращения обработки персональных данных.Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.3.1.11.

Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.3.1.12.

Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:- наименование стран размещения базы данных;- конкретные адреса местонахождения базы данных.Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.Уведомление рекомендуется оформлять на бланке оператора по форме, определенной Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе. 3.2. Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом.

Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора.3.3. В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.3.4.

Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.3.5.

Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных. 19 Сентября 2017, 09:27 0 0 Все услуги юристов в Москве Гарантия лучшей цены – мы договариваемся с юристами в каждом городе о лучшей цене.

Похожие вопросы 08 Июня 2017, 20:30, вопрос №1662097 15 Декабря 2017, 12:25, вопрос №1846732 31 Мая 2017, 20:39, вопрос №1653568 13 Октября 2016, 17:17, вопрос №1406929 12 Марта 2018, 16:25, вопрос №1932122 Смотрите также

Нормативная база

Главным документом в области использования информации о физических лицах, является.

Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление. Предприятия должны установить контроль в своих подразделениях за соблюдением гражданами законодательства о защите персональных данных.

Для этих целей руководство принимает внутренние нормативные акты, с которыми каждый сотрудник знакомится в момент подписания трудового контракта и дает письменное обязательство соблюдать все правила.

, которое утверждает свои требования к организации защиты:

  1. частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
  2. электронный журнал обращений (п. 15, 16);
  3. список (перечень) лиц, которые допущены к обработке (п. 13 (в));
  4. журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
  5. инструкцию пользователя конфиденциальной информации (п. 13);
  6. инструкцию администратора данных (п. 13);
  7. приказ с перечнем мест хранения (п. 13).

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ). Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных.

Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом. Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации.

В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики). Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение.

В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  1. заявления работников о согласии на обработку персональных данных;
  2. журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  3. журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+