Как проводят обработка персональных данных

Как организовать обработку персональных данных сотрудника

В последние годы про ограничения и ответственность, связанные с обработкой персональных данных, говорят буквально на каждом углу. При этом даже опытные кадровики порой не знают, как правильно организовать обработку персональных данных сотрудника. Эксперт системы «Актион Кадры» Анастасия Синицына рассказала об основных принципах и тонкостях.

Что такое обработка персональных данных?

Под обработкой персональных данных понимают действия или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с помощью средств автоматизации. К обработке относят сбор, запись, систематизацию, накопление, хранение, уточнение, обновление и изменение, использование, передачу: распространение, предоставление и доступ, обезличивание, блокирование, удаление, уничтожение. Такое определение дано в положениях пункта 3 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ.

С обработкой персональных данных компания сталкивается, когда запрашивает сведения у сотрудника для заполнения трудового договора и личной карточки при приеме на работу. По закону обработчик должен совершать действия с данными только в определенных целях. Также он обязан получать данные у самого сотрудника. Если для этого нужно привлекать третьих лиц, то перед началом сбора информации необходимо получить письменное разрешение. В законе есть статья о специальных категориях персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и так далее. Обработка таких сведений не допускается, за исключением отдельных случаев, которые предусмотрены частями 2 и 2.1 статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Также закон предписывает работодателю, обрабатывающему персональные данные, брать на себя все связанные с этим процессом расходы, знакомить сотрудников под подпись с локальными актами, которые устанавливают порядок обработки сведений, вместе с сотрудниками обеспечивать меры по защите информации.

Персональные данные содержатся в таких документах, как:

  • анкета, которую соискатель заполняет при приеме на работу;
  • копия паспорта;
  • трудовая книжка или ее копия, сведения о трудовом стаже, предыдущих местах работы;
  • копия свидетельств о заключении брака, рождении детей;
  • документы воинского учета;
  • справка о доходах и суммах налога физлица с предыдущего места работы;
  • документы об образовании и квалификации сотрудника;
  • трудовой договор;
  • приказы по личному составу и их копии.

Какие документы нужны для обработки персональных данных?

Статья 87 и пункт 8 статьи 86 ТК РФ регулируют порядок обработки персональных данных сотрудников. Тем не менее, конкретный перечень документов не установлен, поэтому работодатель может утвердить локальный акт. Название для документа выбирается самостоятельно. Например, положение о работе с персональными данными работников. При этом коллектив нужно под подпись ознакомить с этим документом.

В дополнение к такому документу разрабатывается политика в отношении защиты и обработки персональных данных. Он, например, понадобится, если на вашем сайте регистрируют пользователей или клиентов. Документ размещается в том месте, где, собственно, идет сбор данных. Он составляется с целью рассказать пользователям, какие меры принимает организация, чтобы защитить персональные данные. В документе Роскомнадзор рекомендует указывать основные понятия, цели обработки персональных данных, основания, категории обрабатываемых данных, порядок и условия их обработки, права и обязанности субъектов данных и так далее.

Сотрудники, которые имеют доступ к данным своих коллег, обязаны их не разглашать. При этом привлечь к ответственности, если утечка или разглашение все же произошли, можно только, если это случилось в связи с исполнением трудовых обязанностей, и есть подтверждение, что сотрудники обязывались информацию не разглашать.

Следовательно, работодателю стоит заранее позаботиться о составлении документа о неразглашении, которое подписывается с сотрудниками, имеющими доступ к данных других работников. Также в организации должны быть протоколы, планы внутреннего аудита, правила внутреннего контроля, материалы проверочных мероприятий на случай инспекторских проверок.

Как уведомить Роскомнадзор о том, что организация обрабатывает персональные данные?

До начала обработки данных организации нужно уведомить Роскомнадзор о том, что такая деятельность будет проводиться. При составлении формы необходимо ориентироваться на приказ Роскомнадзора от 30 мая 2017 года № 94.

Работодатель может направить уведомление в бумажном виде на адрес территориального органа Роскомнадзора или в электронном виде через портал персональных данных (часть 3 статьи 22 Федерального закона от 27 июля 2006 года № 152-ФЗ). При изменении сведений или в случае прекращения обработки данных также нужно извещать Роскомнадзор.

Кто должен быть ответственным за обработку персональных данных в компании?

Как правило, за обработку персональных данных назначают ответственным специалиста кадровой службы. Назначение ответственного — обязанность работодателя. Функция закрепляется за сотрудником посредством приказа. Такой сотрудник проводит внутренний контроль за соблюдением закона о персональных данных, доводит до остальных работников всю необходимую информацию, организовывает прием и обработку обращений, поступающих от субъектов персональных данных или их представителей. В статье 22.1 Федерального закона от 27 июля 2006 года №152-ФЗ также указано, что работодатель должен передать ответственному лицу такие сведения как:

  • наименование (фамилия, имя, отчество), адрес работодателя;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатывают;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание способов обработки данных;
  • описание мер по обработке данных, в том числе сведения о шифровальных средствах и другое.

Если обработка персональных данных происходит без средств автоматизации, работодатель также обязан проинформировать о способе такой обработки, о категориях персональных данных и о правилах обработки. Об этом говорится в пункте 6 положения, утвержденного постановлением правительства от 15 сентября 2008 года № 687.

Также работодатель вправе поручить обработку персональных данных другому лицу, которое не является сотрудником организации. В этом случае ответственность перед сотрудником за действия такого лица будет нести работодатель. А лицо, которое осуществляет обработку персональных данных по поручению работодателя, будет отвечать непосредственно перед ним (части 3, 5 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ). В договоре между работодателем и ответственным лицом нужно установить его обязанность обеспечить безопасность персональных данных при их обработке (пункт 3 требований, утвержденных постановлением правительства от 1 ноября 2012 года № 1119).

Какие персональные данные может получать компания?

Организация может собирать сведения о трудовой деятельности сотрудника. Информацию, составляющую личную и семейную тайну, вероисповедание, политические взгляды работник вправе не разглашать в соответствии с пунктом 4 части 1 статьи 86 ТК и статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ.

После пандемии коронавирусной инфекции особенно актуальным стал вопрос о получении сведений, касающихся здоровья. Во многих регионах работодатели обязаны тестировать сотрудников на коронавирус. Принудить сотрудника к тестированию работодатель не может, такие действия могут быть классифицированы как медицинская манипуляция. Поэтому перед направлением сотрудника на сдачу анализа на коронавирус необходимо получить его письменное согласие, после чего издавать приказ о тестировании.

При этом измерять температуру сотрудников на входе в офис разрешено без получения согласия, но показатели тепловизора нужно уничтожать в течение суток — на этом настаивает Роскомнадзор в информации от 20 марта 2020 года.

Кто и как проводит проверки по обработке персональных данных?

Когда проходит три года с даты регистрации компании в реестре, она попадает в план проверок. То, как в компании соблюдается закон о персональных данных, проверяет Роскомнадзор и его территориальные органы. Такие проверки регулируются Законом от 26 декабря 2008 года № 294-ФЗ и правилами, утвержденными постановлением правительства от 13 февраля 2019 года № 146. Проверка еще может быть внеплановой. Ее проводят в том случае, если оператор не исполнит или частично исполнит предписание об устранении нарушений, если поступит обращение гражданина о нарушении, если есть поручение президента и правительства, если этого требует прокурор или если такое решение исходит от руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Длительность проверки будет зависеть от ее вида: срок плановой проверки составляет 20 рабочих дней, внеплановой — не более 10 рабочих дней. О плановой проверке работодателя должны известить за три дня до ее начала, о внеплановой — за 24 часа. Контролирующие органы направляют копию приказа о проверке по почте с уведомлением о вручении, по электронной почте с квалифицированной электронной подписью или любым удобным способом.

В ситуации, когда проверяющий получит документы о нарушении требований к обработке данных; либо возникнет непреодолимая сила, например, затопление или пожар в организации, где проводят проверку; работодатель не представит необходимые документы или будет большой объем работы и документов, которые нужно проверить, надзорное мероприятие может быть продлено. Срок плановой проверки увеличат не более чем на 20 дней, внеплановой — не больше, чем на 10.

Виды ответственности за нарушения в работе с персональными данными

За нарушения в работе с персональными данными предусмотрены разные виды ответственности: дисциплинарная, материальная, административная и даже уголовная.

Дисциплинарная ответственность может наступить для сотрудников, нарушивших правила работы с персональными данными. Это регулирует статья 192 ТК.

Если в результате неосторожных действий при работе с персональными данными, организации нанесен прямой ущерб, то в соответствии со статьей 238 ТК сотрудник привлекается к материальной ответственности.

При обнаружении нарушений при проверке Роскомнадзор вправе оштрафовать организацию в соответствии со статьями 13.11 и 13.14 КоАП. Размер штрафов зависит от вида нарушения. Для граждан, должностных лиц и организаций предусмотрены разные суммы.

Уголовная ответственность для руководителя организации или иного лица, ответственного за работу с персональными данными, может наступить, если он незаконно:

  • собирает или распространяет сведения о частной жизни сотрудника, которые составляют его личную или семейную тайну, без его согласия;
  • распространяет эти сведения в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

Меры уголовной ответственности установлены в статье 137 Уголовного кодекса.

Политика обработки персональных данных

Общие положения

1.1. Настоящая Политика (далее — Политика) разработана в соответствии с Федеральным законом №152-ФЗ «О персональных данных» от 27.07.2006 г. (далее – Федеральный закон «О персональных данных») и другими федеральными законами и нормативно-правовыми актами Российской Федерации.

1.2. Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ЗАО «Торговые дома НЕВИС» (далее – Оператор), полученных от пользователей сайта в сети Интернет по адресу aptekanevis.ru, с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с действующим законодательством об архивном деле в Российской Федерации.

1.4. Если Оператором будет поручено обрабатывать персональные данные другому лицу, договор, заключенный с этим лицом должен содержать обязательства лица соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке.

Читайте также  Почему за развод нужно платить

1.5. Требования, изложенные в Политике, являются обязательными для выполнения всеми сотрудниками Оператора и иными лицами, имеющими договорные отношения с Оператором.

Термины и определения

Оператор персональных данных (оператор) – компания ЗАО «Торговые дома НЕВИС», самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Сайт – интернет-сайт с доменным именем https://aptekanevis.ru, предназначенный для ознакомления, выбора и заказа товара пользователями.

Субъект персональных данных – физическое лицо, являющееся посетителем и/или пользователем Сайта, либо являющееся участником программы лояльности.

Цели обработки персональных данных

2.1. Оператор осуществляет обработку персональных данных в следующих целях:

обеспечения получения, доставки, возврата и обмена товаров и услуг, приобретаемых пользователями Сайта;
обеспечения исполнения договоров закупки, поставки и возврата товаров и услуг;
проведения маркетинговых исследований;
статистической обработки информации, при условии обязательного обезличивания обрабатываемых персональных данных;

— информирования пользователей о товарах/услугах;
информирования пользователей о рекламных акциях и программе лояльности, и участии пользователей в них;
улучшения взаимодействия с пользователями Сайта.

Правовые основания обработки персональных данных

Обработка Оператором персональных данных, в зависимости от целей обработки, осуществляется:

3.1. C согласия субъектов персональных данных на обработку их персональных данных;

3.2. В целях исполнения действующего законодательства Российской Федерации, постановлений Правительства Российской Федерации и иных нормативных правовых актов Российской Федерации;

3.3. В целях исполнения или заключения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем.

Способы и принципы обработки персональных данных

4.1. Оператором осуществляется смешанная обработка персональных данных. Под смешанной обработкой персональных данных понимается обработка персональных данных как с использованием автоматизированных средств, так и без применения средств автоматизации.

4.2. Оператор обеспечивает безопасность персональных данных при их обработке согласно требованиям законодательства Российской Федерации и иных локальных актов Оператора и по вопросам обработки персональных данных.

4.3. При сборе персональных данных Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

4.4. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор заключает договор на обработку персональных данных, в котором указаны цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Сроки и процедура хранения персональных данных

5.1. Сроки хранения персональных данных определяются сроками достижения целей их обработки или исходя из видов документов, в которых содержатся персональные данные.

5.2. Оператор обеспечивает безопасное хранение персональных данных, что означает, что Оператор принимает меры по предотвращению физической утраты или повреждения данных, а также по ограничению доступа и раскрытия персональных данных.

5.3. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

5.4. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.

Согласие субъекта персональных данных и отзыв согласия

6.1. Оператор обрабатывает персональные данные субъекта персональных данных с обязательным получением согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено федеральным законодательством.

6.2. Персональные данные могут быть получены не от субъекта персональных данных при наличии согласия субъекта персональных данных на передачу его персональных данных для обработки, если иной порядок получения персональных данных не предусмотрен Федеральным законом.

6.3. Согласие предоставляется субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законодательством, в том числе, но не ограничиваясь:

  • согласие субъектов персональных данных может быть включено в текст типовых форм, применяемых Оператором;
  • согласие субъекта персональных данных может быть оформлено отдельным документом;
  • согласие может быть получено посредством проставления галочки или совершением конклюдентных действий в соответствующей веб-форме на Сайте.

6.4. Отзыв персональных данных осуществляется в любое время отозвать посредством направления Оператору письменного уведомление на адрес электронной почты sale@aptekanevis.ru . При этом направление такого сообщения влечет невозможность пользоваться всеми функциями Сайта в дальнейшем. В случае отзыва пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

Нарушение Политики и ответственность

7.1. Оператор несет ответственность за соответствие обработки персональных данных действующему законодательству.

Порядок пересмотра Политики

8.1. Пересмотр положений Политики проводится в следующих случаях:

  • на регулярной основе, но не реже одного раза в 2 года;
  • по результатам проверок уполномоченными государственными регуляторами и контролирующими органами исполнительной власти Российской Федерации, выявивших несоответствия требованиям по обработке и обеспечению безопасности обработки персональных данных;
  • при появлении новых требований к обработке и обеспечению безопасности обработки персональных данных со стороны российского законодательства и контролирующих органов исполнительной власти Российской Федерации, а также договорных и других обязательств;
  • по результатам расследования инцидентов информационной безопасности, связанных с обработкой и обеспечением безопасности персональных данных.

Проверка Роскомнадзора в сфере защиты персональных данных: требования, этапы подготовки и прохождение

Далеко не во всех организациях обработка персональных данных происходит в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и его подзаконными актами, что является нарушением законодательства и грозит наложением штрафных санкций. Контроль за соблюдением требований исполняет Роскомнадзор путем проведения проверок и мероприятий систематического наблюдения. О том, как выполнить требования законодательства в сфере защиты персональных данных и подготовиться к проверке Роскомнадзора, рассказывает Ольга Васильева, ведущий эксперт сервиса «АльфаДок».

Как показывает практика, в большинстве организаций работы по защите персональных данных либо не проводились совсем, либо проводились силами сотрудников, не обладающих достаточными знаниями и опытом в данном вопросе, а руководство плохо проинформировано о требованиях законодательства. Поэтому зачастую знакомство с ФЗ-152 происходит уже во время проверки контролирующего органа Роскомнадзора.

Когда ждать проверки Роскомнадзора

Проверки Роскомнадзора бывают двух видов: плановые и внеплановые. Последние чаще всего проводятся в случаях выявления нарушений в действиях оператора (организации, осуществляющей обработку персональных данных) и поступления в Роскомнадзор обращений и жалоб граждан на незаконную обработку персональных данных (динамику их поступления смотрите на графике 1). Роскомнадзор предупреждает о ней всего за 24 часа до начала проверки, поэтому готовым нужно быть всегда.

График 1. Динамика поступления обращений граждан по вопросам защиты персональных данных

Плановая проверка проводится на основании утверждённого Плана проверок, который публикуется на сайте регионального Управления Роскомнадзора в Плане деятельности управления. В случае плановой проверки Роскомнадзор присылает предупреждение не позднее чем за 3 рабочих дня до даты ее начала.

Чтобы проверить, запланирована ли плановая проверка в отношении Вашей организации, зайдите на сайт Управления Роскомнадзора Вашего региона и найдите План деятельности управления на 2017 год. Как правило, план проверок публикуется в пункте 5 раздела I Плана деятельности.

С 2016 года Роскомнадзор стал активно проводить мероприятия систематического наблюдения. Под систематическим наблюдением следует понимать, что сайт вашей организации будет периодически проверяться на отсутствие нарушений требований ФЗ-152: например, опубликована ли Политика в отношении обработки персональных данных или не размещены ли личные данные сотрудников без их согласия (ФИО, фотография, должность). Роскомнадзор не публикует список конкретных организаций, которые попадают под такие мероприятия, но выделяет сферы деятельности таких организаций (государственные и муниципальные органы, образовательные учреждения, финансово-кредитные учреждения, учреждения здравоохранения и другие). Если в ходе систематического наблюдения будут выявлены нарушения, то регулятор выдаст учреждению предписание об устранении нарушений в трехдневный срок и, возможно, организует внеплановую проверку.

Как подготовиться к проверке Роскомнадзора

Поскольку подготовка к проверке и её прохождение требуют знаний законодательства и требований регуляторов, то зачастую организации прибегают к привлечению специалистов со стороны, которые соберут всю необходимую информацию, разработают документацию и проследят за ее утверждением. Однако в нормативную базу регулярно вносятся изменения, а требования контролирующих органов расширяются. При этом в самой организации тоже постоянно происходят изменения: меняется кадровый состав, структура организации, техническое оснащение. Документация же должна быть актуальна на текущий день, что потребует повторных обращений к специалистам и, как следствие, регулярных платежей за обновление документации.

Теоретически подготовиться к проверке можно самостоятельно. Однако отсутствие квалифицированных специалистов, знаний тонкостей законодательства, опыта прохождения проверки препятствуют успешному прохождению проверки и приводят к выдаче предписаний по устранению нарушений по итогам контрольно-надзорного мероприятия и наложению штрафов.

В последнее время активное распространение получили специальные сервисы, позволяющие автоматизировать процессы по защите информации и поддерживать документацию в актуальном состоянии. Одним из таких сервисов является онлайн-сервис «АльфаДок». Сотрудник вносит необходимую информацию, и сервис автоматически формирует весь пакет документов, готовый для выгрузки и утверждения. При возникновении вопросов можно обратиться в службу технической поддержки, эксперты которой проконсультируют по вопросам пользования сервисом и подскажут, какие шаги необходимо выполнить в случае проверки или обращений граждан.

Читайте также  Заявление в фнс о смене учередителя

В целом процесс подготовки к проверке состоит из следующих шагов:

  1. Проведение внутреннего аудита для анализа процессов обработки персональных данных в учреждении.

В рамках аудита необходимо определить:

  • Перечень информационных систем, в которых обрабатываются персональные данные (ИСПДн). В школах такими могут быть системы «Кадровый учет», «Бухгалтерский учет» и «Школа», в состав которой входят программные комплексы, обрабатывающие персональные данные обучающихся и преподавателей.
  • Цели обработки. К примеру, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
  • Категории обрабатываемых в организации персональных данных. Например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о состоянии здоровья. Такой перечень может содержать около ста видов сведений.
  • Категории субъектов, персональные данные которых обрабатываются в организации (сотрудники, клиенты, граждане).
  1. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности персональных данных.

Необходимо назначить ответственного за организацию обработки персональных данных, как правило, это руководящее лицо: директор или заместитель директора. В качестве ответственного за обеспечение безопасности персональных данных обычно назначают технического специалиста.

  1. Разработка и утверждение необходимой документации.

ФЗ-152 «О персональных данных» не регламентирует названия документов, но определяет, какие процессы по обработке персональных данных должны быть оформлены документально. Разрабатываемый в сервисе «АльфаДок» пакет документов по защите персональных данных включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»).

Пакет документов обязательно должен включать в себя Политику в отношении обработки персональных данных. Это основной документ, определяющий все отношения, связанные с обработкой персональных данных в организации. Политика должна быть размещена в общедоступном месте, чтобы каждый желающий мог с ней ознакомиться, поэтому мы рекомендуем обязательно опубликовать её на официальном сайте.

  1. Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.

Уведомление об обработке персональных данных можно отправить в электронном виде с сайта Роскомнадзора или из сервиса «АльфаДок», где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение будет внесено в реестр операторов персональных данных. В случае изменений нужно обязательно уведомить Роскомнадзор, подав информационное письмо с перечнем изменений. При формировании информационного письма в сервисе «АльфаДок» перечень изменений генерируется автоматически.

Что проверяет Роскомнадзор

В первую очередь представители Роскомнадзора проверят, направляло ли Ваше учреждение Уведомление об обработке персональных данных и соответствует ли информация в нем действительности. Поэтому очень важно уведомлять Роскомнадзор о произошедших изменениях, например, о смене ответственного лица или цели обработки.

Представители Роскомнадзора обязательно изучат документацию о защите персональных данных в организации и проверят ее содержимое на предмет выполнения требований законодательства. В соответствии с требованиями, учреждение обязано проводить периодические внутренние проверки режима обработки и защиты персональных данных, уничтожать персональные данные по достижении цели обработки, обеспечить безопасность носителей данных и организовать контролируемый доступ в помещения, в которых размещены информационные системы персональных данных, собрать с сотрудников обязательства о неразглашении конфиденциальной информации, ознакомить их с внутренними документами, регламентирующими обработку персональных данных, завести и регулярно заполнять необходимые журналы и выполнять иные мероприятия, обозначенные в ФЗ-152 и подзаконных нормативно-правовых актах. Выполнение всех мероприятий должно быть документально оформлено.

Регулятор попросит ознакомиться с формой согласия на обработку персональных данных, в которой указываются перечень персональных данных, цель обработки, сроки её прекращения. Такую форму могут подписывать только совершеннолетние граждане, поэтому за детей в возрасте младше 18 лет согласие подписывает законный представитель (чаще всего один из родителей). В случае передачи организацией данных третьему лицу (например, банку, охранному предприятию, централизованной бухгалтерии) форма должна содержать согласие субъекта на поручение обработки такому лицу, а в заключенном с третьим лицом договоре отдельным пунктом обязательно должны быть прописаны условия конфиденциальности.

Особое внимание уделяется обработке специальных категорий персональных данных, куда, в том числе, относится информация о состоянии здоровья и интимной жизни. Специальные категории персональных данных должны обрабатываться строго с письменного согласия субъекта или его законного представителя.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных, вступившего в силу с 1 сентября 2015 года. Это означает, что информация о местонахождении баз данных должна быть указана в Политике и Уведомлении или в информационном письме, если уведомление было отправлено ранее.

Еще одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Ответственность за нарушение законодательства

Если во время проверки обнаружены нарушения, то Роскомнадзор оформит акт о выявлении нарушений с предписанием об их устранении и передаст информацию в суд.

Кодекс об административных правонарушениях предусматривает за нарушение в области персональных данных штрафы на должностное лицо в размере до 200 000 рублей, на юридическое лицо – до 6 000 000 рублей. При повторном правонарушении суммы возрастают. За нарушение неприкосновенности частной жизни, отказ в предоставлении информации или неправомерный доступ к компьютерной информации по Уголовному кодексу РФ возможно наложение штрафа до 500 000 рублей, исправительные или принудительные работы, лишение права занимать определенные должности или заниматься определенной деятельностью, а также лишение свободы.

Следует иметь в виду, что срок давности привлечения к административной ответственности за нарушение законодательства РФ в области персональных данных согласно Федеральному закону от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» был увеличен с 3 месяцев до 1 года.

В целом секрет успешного прохождения проверки состоит из разработки полного комплекта документации, его регулярной актуализации и изучения опыта прохождения проверок другими учреждениями аналогичной сферы деятельности (результаты проведения проверок публикуются на сайтах региональных управлений Роскомнадзора). В случае если уверенности в собственных ресурсах для подготовки к проверке нет, то мы рекомендуем обратиться к профессионалам.

Политика АО «Аэропорт Рощино» в отношении обработки персональных данных

АО «Аэропорт Рощино» (далее — Общество) внесено в реестр операторов, осуществляющих обработку персональных данных 15.04.2014 (регистрационный номер 72-14-001214).

Назначение и область действия

Политика Общества в отношении обработки персональных данных (далее — Политика) публикуется на официальном сайте Общества в соответствии с требованиями части 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Она определяет основные направления деятельности Общества в области обработки и защиты персональных данных, соблюдения прав субъектов персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Безопасность персональных данных — защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Цели обработки персональных данных

Обработка персональных данных Обществом осуществляется в целях:

  • содействия работникам в трудоустройстве;
  • обеспечения личной безопасности работников;
  • контроля количества и качества выполняемой работы;
  • обеспечения сохранности имущества работника и Общества;
  • осуществления производственной деятельности в соответствии с полномочиями, возложенными на Общество законодательством Российской Федерации, а также Уставом Общества.

Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав субъектов персональных данных, Общество обеспечивает надежную защиту их персональных данных.

Обработка и обеспечение безопасности персональных данных в Обществе осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»), других определяющих случаи и особенности обработки персональных данных федеральных законов, подзаконных актов, руководящих и методических документов ФСТЭК России и ФСБ России.

Общество осуществляет обработку персональных данных смешанным способом (как автоматизированная, так и без использования средств автоматизации — неавтоматизированная).

Требования по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, а также при неавтоматизированной обработке, установлены соответствующими инструкциями Общества.

Сроком или условием прекращения обработки персональных данных является прекращение деятельности Общества (ликвидация), изменение состава полномочий, возложенных на Общество, истечение сроков хранения, установленных законодательством Российской Федерации.

Принцип обработки персональных данных

Обработка персональных данных осуществляется на законной основе.

Обществом не раскрываются третьим лицам и не распространяются персональные данные без согласия субъекта персональных данных (если иное не предусмотрено действующим законодательством Российской Федерации).

Конкретные цели определяются до начала обработки персональных данных.

Осуществляется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Уничтожение персональных данных проводится по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Обработка персональных данных допускается в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Читайте также  Как сделать карьеру в армии россии отслужив

Права субьектов персональных данных в части обработки их персональных данных

Субъект, персональные данные которого обрабатываются в Обществе, имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку персональных данных;
  • требовать устранения неправомерных действий Общества в отношении его персональных данных;
  • обжаловать действия или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Общество осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
  • о подтверждении факта обработки персональных данных Обществом;
  • о правовых основаниях и целях обработки персональных данных;
  • о применяемых Обществом способах обработки персональных данных;
  • о наименовании и местонахождении Общества;
  • о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
  • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
  • сведения о сроках обработки персональных данных, в том числе сроках их хранения;
  • об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
  • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных»;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

Общество обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

Сведения о наличии персональных данных предоставляются субъекту персональных данных в доступной форме, и в них не содержатся персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения о реализуемых требованиях к защите персональных данных

Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных», в частности, относятся:

  • назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях;
  • разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных», подзаконным нормативным актам и локальным актам Общества;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
  • ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение работников Общества.
  • Пересмотр положений настоящей Политики проводится в следующих случаях:
  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • при изменении целей обработки персональных данных;
  • при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Общества;
  • по результатам контроля выполнения требований по обработке и защите персональных данных;
  • по решению руководства Общества.

Политика обработки персональных данных

1. Общие положения

1.1 Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Е-Промо» (далее — Компания) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.2 Политика обработки персональных данных в Компании разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

1.3 Настоящая Политика является публичным документом, отражающим систему взглядов Компании по вопросам обработки информации, содержащей персональные данные граждан. Политика публикуется на корпоративном сайте Компании в соответствии с ч.2 ст.18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»).

1.4 Политика обязательна для исполнения всеми сотрудниками Компании, имеющими доступ к информации, содержащей персональные данные, а также лицами, работающими с информацией, принадлежащей Компании, в рамках заключенных договоров и контрактов.

1.5 Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в информационной системе Компании с применением средств автоматизации.

1.6 Компания и иные лица, получившие доступ к персональным данным, обязаны соблюдать в отношении них условия конфиденциальности, а именно — не раскрывать (предоставлять) третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

2. Принципы и условия обработки персональных данных

2.1 Обработка персональных данных в Компании осуществляется на основе следующих принципов:
─ законности и справедливой основы;
─ ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
─ недопущения обработки персональных данных, несовместимой с целями сбора персональных данных.
─ недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
─ обработки только тех персональных данных, которые отвечают целям их обработки;
─ соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
─ недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
─ обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
─ уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

2.2 Компания обрабатывает персональные данные только с согласия субъекта персональных данных на обработку его персональных данных;

2.3 Обработка Компанией специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не производится.

2.4 Компания вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Компании, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

3. Права субъекта персональных данных

3.1 Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Компании уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.3 Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено.

3.4 Компания обязана немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.

4. Обеспечение безопасности персональных данных

4.1 Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры Компании.

4.2 Информация является важным активом Компании и ее защита является обязанностью каждого сотрудника, допущенного к ее обработке.

4.3 Под обеспечением защиты информации, содержащей персональные данные, понимается сохранение ее конфиденциальности, целостности и доступности.

4.4 Безопасность персональных данных, обрабатываемых Компанией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

4.5 Доступ к информации, содержащей персональные данные, предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально необходимом объеме.

4.6 Для каждого информационного ресурса определяется ответственное лицо, отвечающее за предоставление к нему доступа и эффективное функционирование мер защиты информации.

4.7 В Компании разработан и утвержден пакет документов по защите персональных данных.

4.8 В Компании ежегодно проводится анализ принимаемых мер по защите персональных данных.

5. Заключительные положения

5.1 Иные права и обязанности Компании, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

5.2 Должностные лица Компании, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут персональную ответственность в порядке, установленном федеральными законами.