Главная — Организация бизнеса — Кадры — Политика обработки персональных данных в организации
Одной из основных задач, которая встает перед работодателями в целом и сотрудниками кадрового отдела в частности, является формирование политики обработки персональных данных в организации. Правильное ее оформление необходимо для соблюдения требований законодательства, ведь их нарушение может повлечь за собой негативные последствия вплоть до дисциплинарной, административной и уголовной ответственности. Поможет составить правильную с документарной точки зрения политику обработки персональных данных в организации образец.
Политика обработки персональных данных в организации — что это, зачем нужна
Под политикой обработки персональных данных в организации чаще всего подразумевается непосредственно локальный нормативный акт, который регламентирует все вопросы, связанные с использованием личных сведений трудящихся, а также иных лиц, так или иначе имеющих взаимоотношение с рассматриваемым субъектом хозяйствования. Российское и международное законодательство защищают личные сведения человека и поэтому в отношении их обработки устанавливаются определенные требования и ограничения.
Персональными данными же в российском законодательстве именуется любая информация, которая может предоставлять сведения о конкретном физическом лице и сопоставлена с ним.
Так, таковой считаются фотографии человека, его паспортные данные, сведения о месте жительства, телефонные номера, биометрические данные и другие.
Каждая организация обязана соблюдать требования законодательства и обеспечивать проведение обработки исключительно в соответствии с ним и, при необходимости — только по предоставлению лицом, к которому относятся данные или его представителем информированного согласия.
В частности, во многих случаях политике обработки персональных данных, как документу, может быть тождественно положение о защите персональных данных, принимаемое в качестве локального нормативного акта.
Однако в некоторых случаях практикуется иной подход — под политикой подразумевается принятый на предприятии подход по работе с персональными данными клиентов и контрагентов, а положение касается исключительно сотрудников.
Но эти вопросы не регламентированы законодательством прямо и конкретное наименование локального нормативного акта, а также сфера действия на которую он распространяется, и большая часть его фактического содержания устанавливаются самим работодателем.
Лица, в отношении персональных данных которых принимаются означенные нормативные документы при вступлении во взаимоотношения с работодателем должны иметь возможность ознакомиться с текстом политики обработки личных сведений.
Кроме этого, под политикой обработки персональных данных может подразумеваться и более широкая сфера деятельности, чем просто конкретный документ.
Так, политикой в целом называется комплекс регламентированных мероприятий по проведению обработки персональных данных и отношение к нему работодателя и его сотрудников.
Кроме этого, политика может устанавливаться и в качестве общих ценностей организации, а не просто нормативного документа.
Законы и нормативы о политике обработки персональных данных
С точки зрения российского законодательства, вопросы, напрямую связанные с политикой обработки персональных данных, рассматриваются рядом юридически значимых документов федерального уровня. В частности, основными из них можно назвать следующие нормативно-правовые акты:
Статья 81 Трудового кодекса, в которой рассматривается возможность увольнения работника за нарушение политики обработки персональных данных клиентов и других сотрудников и их незаконную передачу либо разглашение.
- Статья 86 Трудового кодекса регламентирует в целом порядок и принципы обеспечения безопасности личной информации сотрудников компании.
- Статья 87 Трудового кодекса посвящена вопросам, связанным с хранением личных данных работников во время осуществления трудовых взаимоотношений.
- Статья 88 Трудового кодекса регулирует вопросы, связанные с передачей сведений личного характера, которые относятся к личным данным трудящихся.
- Статья 89 Трудового кодекса устанавливает общие права трудящихся в отношении их персональных сведений.
- Статья 90 Трудового кодекса рассматривает вопросы несения ответственности за нарушение законодательства в вопросах обработки персональных данных.
ФЗ №152 от 27.07.2006 — это главенствующий документ федерального уровня, в котором закрепляются основные принципы государственного регулирования большинства вопросов, прямо или косвенно связанных с персональными данными и их фактической обработкой в рамках различных видов взаимоотношений.
Помимо тех нормативно-правовых документов и актов, которые приведены выше, в отношении отдельных видов деятельности, например — государственной службы, вопросы регулирования принципов работы с персональными данными могут также регламентироваться и иными законами, касающимися работы соответствующих ведомств.
Как составить политику обработки персональных данных в организации — образец
Чтобы составить политику обработки персональных данных, работодателю необходимо решить несколько основных вопросов. В первую очередь, политика должны быть определена в целом, как комплекс идей и практических мероприятий по их реализации. Существуют различные подходы к политике работы с персональными данными, например, предусматривающие получение максимально полного предварительного согласия на широкую обработку личных сведений, или же напротив — предусматривающие исключительно целевую обработку отдельных видов данных с регулярным получением информированного согласия по каждому конкретному случаю обработки.
Вне зависимости от выбранного подхода, рекомендуется закрепить политику работы с личными сведениями в качестве полноценного внутреннего документа предприятия.
Данный документ должен рассматривать в своих положениях непосредственно все виды обработки информации, порядок и принципы ее передачи третьим лицам, мероприятия по ведению хранения и учета, а также защите сведений, принципы их удаления и уничтожения, а также критерии получения согласия лица, к которому относится рассматриваемая информация.
Зачастую политика обработки персональных данных включается в соответствующее положение. Положение об обработке персональных данных — скачать образец. Микропредприятия в отношении персональных данных сотрудников могут не принимать локальные нормативные акты, вместо этого указывая все принципы защиты личных сведений непосредственно в трудовом договоре.
Источник: https://delatdelo.com/organizaciya-biznesa/politika-obrabotki-personalnyh-dannyh-v-organizatsii.html
Политика обработки персональных данных для сайта — образец, генератор
Краткое оглавление:
Пора ставить галочки. Чем грозят нарушения закона о «О персональных данных» № 152-ФЗ
После 1 июля 2017 года вопрос обработки и хранения персональных данных стал особенно актуальным. Виной всему — новая таблица штрафов за нарушения в этой области.
Получить 75-300 тысяч рублей штрафа теперь стало не просто, а очень просто — достаточно, например, не взять согласие пользователя на обработку его персональных данных при отправке заявки с лендинга.
Так еще вчера вы должны были описать на своем сайте политику обработки персональных данных и просить пользователей соглашаться с ней при отправке любой формы с сайта.
Как правильно написать Политику обработки персональных данных
Если подходить к делу основательно, желательно прочитать упомянутый выше закон, ознакомиться с рекомендациями Роскомнадзора (тыц) и составить объемный документ, регламентирующий все нюансы работы с персональными данными пользователей именно на вашем сайте.
Некоторые не заморачиваются и берут чужие правила обработки персональных данных, вставляют туда имя своей организации и выкладывают на своем сайте. Это не совсем красиво и к тому же может привести к конфликту с тем, кто эту Политику писал. Как ни крути, но это, интеллектуальная собственность (причем, не ваша).
Мы решили подарить вам еще один, самый простой способ — ниже есть образец Политики обработки персональных данных.
Образец Политики обработки персональных данных для сайта
Представленный ниже образец Политики обработки персональных данных для сайта является универсальным и подходит для большинства интернет-ресурсов в рунете. Он составлен юристами, претензий со стороны проверяющих органов к нему быть не должно.
Однако, обращаем ваше внимание — не надо выкладывать его не глядя.
Хотя бы ради приличия внимательно прочитайте этот образец Политики — мало ли, вдруг он чем-то не подойдет в вашем конкретном случае — будете потом нас винить:)Желтым цветом для удобства в документе выделены те места, которые вам нужно заменить на свои данные.
Скачать образец политики обработки персональных данных для сайта (.docx, 19КБ)
Если захотите отблагодарить нас, поделитесь ссылкой на эту страницу с друзьями!
Сгенерировать политику обработки персональных данных для сайта
Вы можете с помощью представленного ниже конструктора сгенерировать свою собственную политику обработки персональных данных для вашего сайта. Просто введите нужные данные в форму и нажмите «Сгенерировать». Всё, ваша уникальная Политика готова!
Внимание! Эта форма не отправляет нам ваши персональные данные и не сохраняет их. Это генератор Политики — она составляет документ на основе введенной информации и предоставляет его вам. Подробности описаны в нашей Политике обработки персональных данных
Название вашей организации:Например, ООО «Название Организации», ИП Фамилия И.О., Администратор сайта Фамилия И.О. | |
Почтовый адрес вашей организации для связи:Например, 420111, г.Казань, ул.Пигузова, д.1, оф.100 (Не обзятально, но желательно) | |
Какие персональные данные вы будете собирать?Учтите — закон №152-ФЗ гласит, что нельзя указывать все данные без разбора, «с запасом». Можно указывать только те, которые вы реально собираете и которые вам действительно нужны в работе. | ФИО Номер телефона Адрес эл.почты Почтовый адрес Паспортные данные Другие (указать через запятую): |
Адрес сайта, где будут собираться персональные данные:Например, advegital.com | |
Цель сбора персональных данных:Закон №152-ФЗ требует четко указывать, что вы собираетесь делать с персональными данными. Например, «Уточнение деталей и отправка заказа клиенту», «Почтовая рассылка новостей компании», «Запись на прием к юристу» и т.д. Можно указать несколько целей через запятую.Если оставить поле пустым, вставится «уточнение деталей заказа». | |
Эл.почта для связи (для отзыва согласия на обработку ПД и т.д.):Обязательно укажите реальных ящик электронной почты. Это тоже требование Закона №152-ФЗ. | |
Выделить в документе ваши данные?Чтобы вам было удобнее проверять. |
Источник: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html
➤ Обязательство о неразглашении персональных данных работников 2019 образец
Обязательство о неразглашении персональных данных подписывают сотрудники, чьи служебные обязанности предполагают доступ к личной информации работников. Как правильно составить текст обязательства, чтобы обеспечить безопасность персональной информации, расскажем в статье.
Скачайте документы по теме:
Для чего составляют обязательство о неразглашении персональных данных работников
Сбор, обработка и хранение персональной информации граждан страны регулирует закон (Федеральным законом № 152-ФЗ «О персональных данных»). Защита личной информации и права на неприкосновенность частной жизни работника — обязанность работодателя. Он, в силу необходимости, имеет доступ к документам и сведениям, которые законом квалифицируются как персональные.
Это информация:
- о реквизитах документов, удостоверяющих личность;
- об образовании, специальности, служебном положении;
- о составе семьи, адресе проживания;
- задекларированном имуществе, зарплате и пр.
К числу обязательных документов, которые работник заполняет и подписывает при поступлении на работу, относится согласие на обработку персональных данных (см. образец). К субъектам персональных данных относятся не только те сотрудники, с которыми заключены трудовые договоры, но и те лица, которые работают по договорам гражданско-правового характера.
Внимание! На получение персональных сведений о сотруднике от третьих лиц требуется письменное согласие работника.
Согласие субъекта персональных данных на обработку его персональных данных
Те представители работодателя, которые имеют доступ к этой информации в силу своих служебных обязанностей, должны подписать обязательство о неразглашении персональных данных. Должностные лица, осуществляющие сбор, обработку и хранение личных данных сотрудников определяются приказом руководителя. В перечень допущенных, как правило, включают представителей:
- бухгалтерии;
- кадровой службы;
- службы персонала;
- юристы.
Бланк «Обязательство о неразглашении персональных данных работников»
За нарушение обязательств, которые оператор принимает на себя, подписывая соглашение о неразглашении персональных данных, перед законом несет ответственность работодатель.
В отношении работодателя действуют санкции, предусмотренные КоАП РФ, а также отдельными нормами Трудового, Гражданского и Уголовного кодексов РФ.
Поэтому так важно, чтобы вопросы сбора, обработки и сохранности сведений о работниках личного характера были отрегулированы и внутренними нормативными актами работодателя.
Каким внутренним документом устанавливают ответственность за неразглашение персональных данных
Все работодатели должны разработать и утвердить Положение о персональных данных сотрудников. Документ составляют с учетом положений Трудового кодекса РФ и иных федеральных законов, но порядок работы и иные процедурные вопросы работодатель вправе определить самостоятельно. Каждый новый сотрудник, оформляющийся на работу, ставит подпись на листе ознакомления с Положением.
Положение о работе с персональными данными работников
В структуру Положения о работе с персональными данными работников входят разделы:
- общие положения;
- получение и систематизация данных;
- хранение личной информации;
- использование и обработка;
- передача;
- гарантии конфиденциальности.
Скорректируйте структуру документа с учетом специфики работы с информацией в организации, адаптируйте нормы Положения к условиям работы конкретного предприятия.
В качестве приложений разработайте бланки документов, сопровождающих процесс сбора, использования и хранения сведений, в том числе – соглашение о неразглашении персональных данных образец. Утвердите Положение о персональных данных руководителем предприятия.
Вопрос-ответ от эксперта «Системы Кадры»
Как организовать обработку персональных данных сотрудников?
Рассказывает Н. Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России.
Сначала определите, какие персональные данные и для каких целей собираетесь обрабатывать. Затем выясните, нужно ли согласие сотрудника на обработку данных. Получите согласие, если это требуется. Запросите у сотрудника необходимые сведения и документы. В этой рекомендации расскажем, как правильно получать, хранить и передавать персональные данные сотрудников…
Читать ответ эксперта
Как составить соглашение о неразглашении персональных данных образец
При составлении текста используйте универсальные формулировки, не ограничивая перечень операций только функционалом конкретной должности. Включите в текст обязательства о неразглашении персональных данных все операции — и сбор, и обработку, и хранение.
В письменное согласие о неразглашении персональных данных включите полный и конкретный перечень данных, относящихся к персональным. Это станет доказательством правоты работодателя в случае спора.
Включите в текстовую часть фразу о санкциях за нарушение данного обязательства, предусматриваемого статьей 90 ТК РФ «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника».
Когда составляют обязательство, а когда договор о неразглашении персональных данных
Это зависит от того, кому поручают сбор, обработку и хранение персональных данных. Когда данные используют в организации и занимаются этим сотрудники, назначенные приказом руководителя, с ними целесообразно подписать обязательство о неразглашении персональных данных работников, образец которого приведен выше.
В том случае, когда бухгалтерский учет или кадровое делопроизводство отданы на аутсорсинг, с аутсорсером заключите соглашение о конфиденциальности.
По такому договору о неразглашении персональных данных одна сторона обязуется передать информацию личного характера о работниках второй стороне.
Вторая сторона при этом берет на себя обязательства по защите информации, соблюдению требований по отработке и сохранности представленных персональных данных.
Ответственность оператора за нарушение соглашения о неразглашении персональных данных
В обязательстве о неразглашении персональных данных работников, дана ссылка на статью 90 ТК РФ. Работник тем самым уведомлен о том, что нарушение подписанного документа дает работодателю право привлечь его к ответственности, в зависимости от степени тяжести последствий:
- дисциплинарной,
- материальной,
- административной,
- уголовной.
Когда применяют дисциплинарное взыскание, работник получает замечание или выговор. Работодатель может уволить его основании статьи 192 ТК РФ. Уволить работника за несоблюдение обязательства о неразглашении персональных данных можно и на основании пункта 6 подпункта «в» статьи 81 ТК.
Увольнение на этом основании осуществляется за разглашения охраняемой законом тайны, доступ к которой сотрудник получил в связи с выполнением должностных обязанностей.
В отношении отдельных категорий работников, перечисленных в части 5 статьи 189 ТК РФ, предусматриваются и иные виды дисциплинарных взысканий.
Источник: https://www.kdelo.ru/art/384787-obyazatelstvo-nerazglashenie-personalnyh-dannyh-19-m2
Народная Политика конфиденциальности
По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.
Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.
Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности с обработкой ПДн. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.
Смотрим, что получилось.
Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами. В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные. В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных. По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.
Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.
1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:
Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.
Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.
Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.
Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.
Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.
Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.
1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота. Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров. Роль такого договора может выполнять Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.
В результате мы получаем достаточно стандартный набор целей:
- Заключение с пользователем договоров на использование или с использованием Сайта.
- Идентификация пользователя в рамках исполнения обязательств по заключенным с ним договорам.
- Исполнение обязательств по заключенным договорам, включая предоставление пользователю доступа к Сайту и технической поддержки, использование пользователем функциональных возможностей Сайта.
- Выставление счетов и возврат остатка денежных средств в случае расторжения заключенных с пользователем возмездных договоров.
- Нотификация в рамках информационного обслуживания, рассылок и улучшения качества обслуживания по заключенным Договорам, в том числе с привлечением третьих лиц.
Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных. Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных. Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта. В первую очередь приводим данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете. Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания. В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных. Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных б) обработку персональных данных без использования средств автоматизации. Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники. Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687. В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2). Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации. Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде. Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных». На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами. Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений. В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ. При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске. Таковы основные Рекомендации в отношении формы и содержания Политики. Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п. По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.
Ниже пример такого уведомления.
Источник: https://habr.com/post/337970/
Согласие на обработку персональных данных. Образец и бланк 2019-2020 года
Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.
ФАЙЛЫ
Скачать пустой бланк согласия на обработку персональных данных .docСкачать образец согласия на обработку персональных данных .doc
Что собой представляет согласие
Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.
Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.
Когда чаще всего требуется согласие
Сейчас согласие необходимо писать почти повсеместно:
- при подаче документов на ребенка в садик или школу;
- при трудоустройстве;
- при заключении договора с банком, страховой компанией и т.д.
Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.
Что вкладывается в термин «персональные данные»
Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:
- фамилия, имя, отчество;
- дата и место рождения;
- сведения из паспорта, трудовой книжки и прочих документов;
- а также некоторые характеристики его личности.
При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.
В частности их условно можно поделить на три основных вида:
- общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
- биометрические (физиологические особенности индивида, его внешние параметры)
- специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.
По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.
Для чего формируется согласие на обработку при трудоустройстве
Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д.
Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).
В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.
Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.
Если сотрудник отказывается подписывать согласие
Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.
Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.
В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.
Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.
Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.
Что грозит за разглашение персональных данных
- Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.
- Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.
- Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.
- В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).
Как уведомить
Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.
Можно ли отозвать согласие
Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает.
Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия.
Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.
Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).
Это требование должно быть выполнено не позже чем через месяц после написания отзыва.
Образец согласия
Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:
- наименование компании-работодателя;
- место и дата составления документа;
- фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.
Далее в основной части подробно указывается:
- каких именно персональных данных касается документ;
- в каких целях и что именно допустимо с ними делать;
- срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).
Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.
СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Иваново
03.08.2018 г.
Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных.
Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях.
Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч.
передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.
Ковтун И.О. (подпись)
Источник: https://assistentus.ru/forma/soglasie-na-obrabotku-personalnyh-dannyh/
Политика конфиденциальности и обработки персональных данных
- Назначение и область действия документа
- «Политика ООО «Сателлит» (далее по тексту также — Общество) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
- Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений ООО «Сателлит».
- Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
- К настоящей Политике имеет доступ любой субъект персональных данных.
- Определения
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину). Т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья и т.п.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств.
К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъекты персональных данных ООО «Сателлит» обрабатывает персональные данные следующих лиц:
- субъектов, с которыми заключены договоры гражданско-правового характера;
- клиентов ООО «Сателлит»;
- зарегистрированных пользователей сайта ООО «Сателлит»
- представителей юридических лиц;
- поставщиков (индивидуальных предпринимателей).
- Принципы и условия обработки персональных данных
- Под безопасностью персональных данных ООО «Сателлит» понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.
- Обработка и обеспечение безопасности персональных данных в ООО «Сателлит» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.
- При обработке персональных данных ООО «Сателлит» придерживается следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки персональных данных, которые отвечают целям их обработки;
- соответствия содержания.
Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
ООО «Сателлит» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.
Лица, осуществляющие обработку персональных данных по поручению ООО «Сателлит», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных».
Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
- В случаях, установленных законодательством Российской Федерации, ООО «Сателлит» вправе осуществлять передачу персональных данных граждан.
- Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.
- Права субъекта персональных данных
- Субъект, персональные данные которого обрабатываются ООО «Сателлит», имеет право:
- получать от ООО «Сателлит» подтверждение факта обработки персональных данных ООО «Сателлит»;
- правовые основания и цели обработки персональных данных;
- сведения о применяемых ООО «Сателлит» способах обработки персональных данных;
- сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
- сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
- информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отозвать свое согласие на обработку персональных данных;
- обжаловать действия или бездействие ООО «Сателлит» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что ООО «Сателлит» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
- Обеспечение безопасности персональных данных
- Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
- Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
На сайте macroscop.com публикуется актуальная версия «Политики «ООО «Сателлит» в отношении обработки персональных данных».
Источник: https://macroscop.com/politika-konfidencialnosti-i-obrabotki-personalnyh-dannyh