Главная » Гарантии и компенсации

Положение о персональных данных 2022 образец

На чтение 28 мин. Просмотров 1 Опубликовано
Содержание

3.1.2. Работодатель не имеет права получать и обрабатывать персональные данные работника Организации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия [5] .

2.2. В состав персональных данных работников Организации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.

2.3.3.2. Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства Организации); документы по планированию, учету, анализу и отчетности в части работы с персоналом Организации.

1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

Приказ об утверждении положения о защите персональных данных: образец и бланк 2022

Субъект, который обрабатывает персональные данные, – это оператор. Если речь идет о трудовых отношениях, то в роли субъекта персональных данных будет выступать нанятое лицо, а в роли оператора – наниматель. Работодатель в силу своего статуса и закона получает доступ к персональным данным своих работников, однако разглашать полученную информацию о физлице категорически запрещается.

Отношения, связанные с обработкой персональных данных, регулируются профильным законом №152 от 27.07.2006. Данный акт принят с целью осуществления качественной защиты прав и свобод человека и гражданина при обработке его личных сведений, защиты права на неприкосновенность частной жизни, права на личную и семейную тайну.

  1. Вводные данные – наименование компании, название документа, его номер, дата и место составления.
  2. Суть распоряжения – в этом блоке нужно указать основание для издания приказа, а также дать ссылку на статью закона (например, необходимость внедрения правил и норм по защите персональных данных).
  3. Непосредственное указание на защиту личной информации подчиненных, а также перечня нормативно-правовых бумаг, которые регламентируют данный вопрос, требование об ознакомлении с ними персонала под роспись.
  4. Назначение ответственного лица.
  5. Указание данных субъекта, который будет контролировать выполнение данного распоряжения.
  6. Подписи.

Информационные технологии стремительно развиваются, и это стало основной причиной актуализации темы защиты персональных данных. В силу специфики трудовых отношений работодатели получают доступ к личной информации о своих подчиненных. В этой статье расскажем, как правильно организовать обработку полученных сведений на работников организации и как оформить приказ об утверждении положения о персональных данных.

Информация о вероисповедании, национальности, внешних особенностях, финансовом и семейном положении, наличии или отсутствии судимостей, политических взглядах и других фактах из биографии – все это также относится к личным данным человека, которые могут попасть к администрации и в отношении которых применяется усиленный режим защиты.

  • цели и задачи предприятия при работе с конфиденциальными данными;
  • перечни таких данных;
  • описание операций с данными, которые часто используются на предприятии;
  • способы доступа к данным;
  • перечни и обязанности персонала фирмы при использовании информации;
  • права сотрудников фирмы на доступ к информации;
  • ответственность работников предприятия за разглашение информации.

Запрещено получать и обрабатывать данные, которые не относятся напрямую к трудовой деятельности. К примеру, сведения о вероисповедании, национальной, политической принадлежности. Данная информация получается исключительно от самих сотрудников. Эти условия должны быть включены в положение об обработке и защите персональных данных. Работодатели обязаны уведомить работника и получить от него письменное согласие на обработку, хранение, использование и распространение его данных.

С 23 февраля 2022 года вступило в силу Постановление Правительства от 13.02.2022 № 146, которым утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Согласно документу, плановые проверки будут проводиться раз в 2-3 года, а перечень компаний, подлежащих контролю можно будет заранее увидеть на сайте Роскомнадзора. Как и в случае с другими видами контроля, о запланированном визите инспекторы должны будут предупредить. Если плановая проверка, то известить о ней должны за 3 рабочих дня, а если внеплановая — за 24 часа.

Чтобы сохранить конфиденциальность информации о людях, работающих в организации, составляется список должностных лиц, имеющих к ней доступ. Приказом назначается ответственный за сбор, хранение и обработку конфиденциальных данных. Работники, руководители, генеральный директор предприятия подписывают Соглашение о неразглашении.

Работодатели массово стали получать письма из Роскомнадзора с предупреждением о том, что при проверке компании могут получить серьезные штрафы за нарушение норм закона ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — Закон). По нему работодатель обязан гарантировать защиту такой информации от противоправного доступа и использования третьими лицами. Положение о работе с персональными данными работников помогает решить эти задачи.

Приказ об утверждении положения о персональных данных

  • Ф.И.О.;
  • адрес регистрации и места проживания;
  • серию и номер паспорта;
  • номер свидетельства ИНН;
  • СНИЛС;
  • о количестве детей, датах их рождения;
  • о семейном положении;
  • о предыдущей работе, сроках, причинах увольнения.

Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.

Приказ об утверждении положения о персональных данных – относительно новый кадровый документ, который обязан составлять работодатель во исполнение требований законодательства о защите личной информации. Этот документ позволяет обеспечить порядок в организации документооборота предприятия и осуществлять законную обработку личной информации о сотрудниках.

Только после утверждения Положения об обращении с данными работников оно вступает в силу и должно быть доведено до всеобщего сведения под роспись. Для действующих сотрудников подпись проставляется в журнале (реестре) ознакомления. Соответствующий пункт об ознакомлении для новых сотрудников включается в трудовой договор. В качестве отдельного документа целесообразно составить согласие на обработку личных данных, которое должно быть подписано всеми работниками.

В соответствии с ФЗ «О персональных данных» работодатель должен хранить все локальные акты об обращении с информацией в отношении работников в течение всего срока своей деятельности. Таким образом, наряду с Положением, в организациях постоянно должен храниться и приказ о его утверждении.

4. Ивановой Светлане Игоревне ознакомить всех работников АО с Положением о защите персональных данных работников, с лицами, замещающими должности с допуском к работе с персональными данными заключить Обязательство о неразглашении персональных данных работников.

Это интересно:  Отдых в россии многодетным

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомить можно путем получения подписи на отдельном листе, на самом Положении. Или указать в перечне документов, с которыми работник ознакомлен при подписании трудового договора. Возможно, в организации будет журнал ознакомления с локальными актами работодателя. А вот рассылать, например, по электронной почте, не стоит. Трудовой кодекс содержит требование ознакомить с документами под роспись.

Работодатель обязан хранить личные дела своих сотрудников в соответствии со ст. 22.1 Федерального закона от 22.10.2004 № 125-ФЗ и затем передавать их на хранение в архив. Чтобы не допустить утечку персональных данных, должен быть применен комплексный подход к этой работе. Для чего необходимо составить и утвердить соответствующее Положение.

Согласно положений Закона № 152-ФЗ, работодатель при приеме граждан на работу становится оператором обработки их личных данных. Это значит, что он берет на себя ответственность по сбору, хранению, обработке и иных действий в отношении получаемых сведений и вправе осуществлять их при помощи средств автоматизации или без них.

Пункт 2 часть 1 статья 18.1 Закона дает понятие персональным данным (далее ПД), к которым относят любую информацию, касающуюся субъекта прямо или косвенно, позволяющего идентифицировать его. Если говорит о работнике, как субъекте ПД, то работодатель использует следующие параметры:

Все данные заносятся в личное дело сотрудника и пополняются в течение трудовой деятельности иной информацией персонального характера. Для организации работы, работодатель должен разработать Положение, в котором закрепить порядок и правила получения, хранения, использования полученных ПД работников.

  • документы, на основании которых оформляется трудовой контракт;
  • трудовые книжки;
  • личные дела работников;
  • отчетность налоговая, статистическая и т.д.;
  • приказы по организации и их копии.
  1. Обработка персональных данных.

Новые правила обработки и распространения персональных данных с 1 марта 2022 года

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Но уже с 27 марта 2022 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2022 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Согласие на обработку персональных данных

поставщик услуги со слов клиента вносит его личные данные в свою электронную базу и просит дать согласие на обработку полученных сведений посредством СМС-кода или звонка. Код отправляется системой автоматически. При этом клиенту предлагается ознакомиться с программой лояльности, ссылка на которую прикрепляется к СМС.

Конкретного перечня ПД не существует, так как только по фамилии, имени и отчеству однозначно идентифицировать человека не получится: на просторах нашей Родины одних ивановых иванов ивановичей – многие тысячи. Если же Ф.И.О. сочетаются с другой информацией: датой/местом рождения, адресом, номером телефона, семейным положением, отношением к религии и т.д.), то весь этот набор переходит в категорию персональных данных. Какая именно комбинация может считаться ПД – вопрос дискуссионный.

Центробанк вместе с Роскомнадзором согласовали совместную позицию, касающуюся согласия заёмщика на обработку его ПД. Кредитные учреждения не имеют право распространять личную информацию своих клиентов без их согласия. Рекомендовано оформлять отдельное согласие на работу с биометрическими данными и ограничить срок действия документа датой завершения взаиморасчётов по кредиту. Более подробную информацию по данной теме можно посмотреть по ссылке http://www.garant.ru/hotlaw/federal/1476479/.

  • пользоваться информацией, дающей возможность установить принадлежность ПД конкретному лицу;
  • кроме обезличенных данных, предоставлять третьей стороне сведения, позволяющие идентифицировать гражданина;
  • деобезличивать сведения, кроме случаев, когда речь идёт о защите жизни и здоровья граждан.
  1. В форме должны присутствовать сведения об операторе (работодателе) и субъекте ПД (работнике).
  2. Работник должен перечислить категории своих ПД, которые могут быть переданы третьей стороне с указанием ограничений, если таковые имеются.
  3. В документе следует указать, посредством каких информационных ресурсов оператор будет распространять ПД.
  4. Согласие должно быть заверено личной подписью субъекта ПД и содержать указание о сроке действия.
  • осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  • необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными;
  • включают только ФИО субъектов ПД;
  • нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Это интересно:  Перерасчет за продленку при болезни

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

С 1 марта 2022 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

С 1 марта 2022 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

С сентября 2022 года — новые требования к согласию на обработку персональных данных

С 1 марта 2022 года начали действовать изменения, внесенные в Закон от 27.07.2006 г. № 152-ФЗ. Данные корректировки коснулись вопроса предоставления доступа к информации субъекта через согласие на ее обработку. Нововведения были приняты для решения проблемы бесконтрольного использования персональных сведений граждан третьими лицами.

  • категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
  • условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
  • ФИО;
  • контактные данные (телефон, электронная почта, адрес);
  • информация об операторе-компании;
  • информация об операторе-физлице;
  • информация об операторе-ИП;
  • информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
  • цель обработки сведений;
  • категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
  • срок действия согласия.

Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.

В п. 9 ст. 9 Закона № 152-ФЗ указывается, что требования к информации, включаемой в согласие на обработку персональных данных, определяет Роскомнадзор. Данные требования он указал в Приказе от 24.02.2022 г. № 18 — документ вступил в законную силу с 1 сентября 2022 года.

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Положение о персональных данных работников в 2022 году — образец

В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.

  • обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
  • ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
  • финансовый источник организации защиты рассматриваемых данных — средства работодателя;
  • не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
  • меры по защите ПД — вопрос совместной деятельности работника и работодателя.

Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.

  1. Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
  2. Перечень сведений, составляющих ПД сотрудников фирмы.
  3. Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
  4. Правила обработки данных.
  5. Порядок получения доступа к ПД тех или иных лиц.
  6. Меры, направленные на защиту обрабатываемых данных.
  7. Права и обязанности сторон правоотношений в области работы с ПД.
  8. Ответственность организации за нарушения в сфере охраны и защиты ПД.

Приказ О назначении ответственных за организацию обработки персональных данных в 2022-2022 учебном году

  1. Ответственность за осуществление мероприятий по защите персональных данных сотрудников школы, обучающихся и их родителей (законных представителей) возложить на заместителя директора Копань О.П.
  2. Назначить администратором по безопасности – Лопатина Б.Ю. инженера, системного администратора.
  3. Лопатину Б.Ю. системному администратору:
    1. осуществлять внутренний контроль за соблюдением требований к защите персональных данных в ГБОУ школе № 596 Приморского района
    2. доводить до сведения работников школы положения локальных актов по вопросам обработки персональных данных, требований к их защите.
  4. Ивановой А.О. специалисту по кадрам секретарю учебной части:
    1. вести прием и обработку обращений и запросов субъектов персональных данных или их представителей;
    2. обеспечивать контроль условий сохранности персональных данных на материальных носителях;
  5. Возложить ответственность за организацию технической защиты персональных данных на Лопатина Б.Ю. инженера.
  6. Назначить ответственных за обработку персональных данных в информационных системах персональных данных (Приложение 1).
  7. Контроль исполнения настоящего приказа оставляю за собой.

Персональные данные

Для обработки таких данных необходимо специальное согласие субъекта этих ПДн, которое нужно оформлять отдельно от других подобных согласий (п. 5 ст. 1 ФЗ № 519-ФЗ). Такое согласие разрабатывается непосредственно оператором либо с помощью информационной системы Роскомнадзора и оформляется на русском языке. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии.

Оператор обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

условия, при которых полученные ПДн могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн;

если субъект ПДн сам раскрыл третьим лицам информацию о себе и не дал оператору ПДн согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто этой информацией занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или обстоятельств непреодолимой силы;

Это интересно:  Идентификационный код закупки по 44 фз пример с 2022 квр аудит

1. Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения 16 . Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2022 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

  • перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
  • запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
  • запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
  • условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.

Примерный перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных

Согласно ч.1 ст.18.1 Закона № 152-ФЗ, оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, может относиться ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Согласно ч.4 ст.22.1 Закона № 152-ФЗ, лицо, ответственное за организацию обработки персональных данных, в частности, обязано организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Оператором персональных данных при обработке персональных данных, осуществляемой без использования средств автоматизации, должны быть оформлены также следующие документы.
Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации.
Согласно п.6 Положения № 687, лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Типовые формы документов.
Согласно п. 7 Положения № 687, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться определенные условия:
— типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Документ, устанавливающий требования к ведению журналов (реестров, книг…), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор.
Согласно п.8 Положения № 687, при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

  1. Ответственность за осуществление мероприятий по защите персональных данных сотрудников школы, обучающихся и их родителей (законных представителей) возложить на заместителя директора Копань О.П.
  2. Назначить администратором по безопасности – Лопатина Б.Ю. инженера, системного администратора.
  3. Лопатину Б.Ю. системному администратору:
    1. осуществлять внутренний контроль за соблюдением требований к защите персональных данных в ГБОУ школе № 596 Приморского района
    2. доводить до сведения работников школы положения локальных актов по вопросам обработки персональных данных, требований к их защите.
  4. Ивановой А.О. специалисту по кадрам секретарю учебной части:
    1. вести прием и обработку обращений и запросов субъектов персональных данных или их представителей;
    2. обеспечивать контроль условий сохранности персональных данных на материальных носителях;
  5. Возложить ответственность за организацию технической защиты персональных данных на Лопатина Б.Ю. инженера.
  6. Назначить ответственных за обработку персональных данных в информационных системах персональных данных (Приложение 1).
  7. Контроль исполнения настоящего приказа оставляю за собой.

Руководство по заполнению уведомления оператора персональных данных

Как вы уже поняли, графа «Цель обработки персональных данных» для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно написать «Обеспечение кадрового и бухгалтерского учета, подбор персонала на вакантные должности, оказание услуг [перечень услуг]».

И последнее в этом блоке — использование криптографии. Если она не используется, то идем дальше. Если отвечаем утвердительно, то нас попросят написать наименования таких средств защиты и их класс. Все эти данные можно узнать из документации на криптосредство. Скажем здесь лишь, что криптосредства классов КВ и КА используются как правило для гостайны, а гостайна 152-ФЗ не регулируется, поэтому в обычных ИСПДн чаще всего выбирать приходится из 3 вариантов используемого криптосредства — КС1, КС2 или КС3. Если используются разные крпитосредства разных классов, то форма позволяет указать все необходимые сведения.

В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.

Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь давайте посмотрим на каждое из полей.

В сведениях об обеспечении безопасности персональных данных указывается перечень средств защиты информации, применяемых в ИСПДн. К счастью, эти сведения не публикуются в открытом доступе для всех желающих, в отличие от других полей, поэтому можно указывать все фактически используемые СЗИ.

Оцените статью
Доступное Правовое обеспечение
Вам также может понравиться
Выплаты по уходу за ребенком инвалидом в 2022 году
В Госдуме предложили повысить одно из пособий в 10
020
Едв инвалидам 3 группы в 2022
Инвалидам 1, 2 и 3 групп, детям-инвалидам предоставляется
022
В каком банке выгоднее взять потребительский кредит в 2022 году
Рейтинг потребительских кредитов с низкой процентной
08
Новый закон об отпуске по уходу за ребенком в 2022 году и выплаты
Выплата отпускных в 2022 году новый закон сроки и перечисление
014
Сроки выплаты пенсии в июне 2022 года
если на территории введен режим ЧС, то доставка пенсии
011
Пенсия во Владимире и Владимирской области в 2022 году
Ежегодно 1 января в каждом регионе переустанавливается
08
Начисление амортизации основных средств в 2022 году в бюджетных учреждениях с какой суммы
Говоря о методике уменьшаемого остатка, законодатель
06
Размер прожиточного минимума в екатеринбурге 2022
МРОТ и прожиточный минимум на 2022 года в Екатеринбурге
03
© 2024 Доступное Правовое обеспечение