Работа с персональными данными работников: ответы на вопросы (Часть 3)

3 октября 2022

581

Время чтения: 8 мин.

#общие вопросы #инструкция #трудовое право #трудовые отношения #зарплата и управление персоналом

Нет времени читать? Отправить на почту

Что следует делать работодателям, чтобы обеспечить охрану персональных данных работников, и как уведомлять Роскомнадзор о намерении обрабатывать персональные данные, с учетом изменений законодательства, вступивших в силу 1 сентября 2022 года? Об этом вы расскажем в нашей новой статье.

Работа с персональными данными работников: ответы на вопросы (Часть 2)

Как подать уведомление об обработке персональных данных в Роскомнадзор?

Если работодатель обрабатывает персональные данные, он должен быть включен в реестр операторов персональных данных. Для этого необходимо представить соответствующее уведомление в Роскомнадзор. Направить уведомление необходимо до начала обработки персональных данных, однако делать это нужно не всегда.

Когда не нужно уведомлять Роскомнадзор?

В ч. 2 ст. 22 Закона № 152-ФЗ закреплен перечень случаев, когда осуществлять обработку персональных данных работников можно без дополнительных уведомлений. Обрабатывать без уведомления Роскомнадзора можно персональные данные включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка, обрабатываемые исключительно без использования средств автоматизации, обрабатываемые в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Во всех остальных случаях уведомление Роскомнадзора является обязательным. Это касается, в том числе, случаев обработки персональных данных работников и соискателей.

Оформление уведомления

Форма уведомления об обработке персональных данных утверждена приказом Минкомсвязи России от 30.05.2017 № 94. Перечень сведений, которые необходимо указать в уведомлении, закреплен в ч. 3 ст. 22 Закона № 152-ФЗ и включает наименование, адрес оператора, цель обработки персональных данных, описание мер, предусмотренных ст. 18.1 и 19 Закона № 152-ФЗ, в том числе сведения о наличии шифровальных средств и наименования этих средств, Ф.И.О. лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты, дату начала обработки персональных данных, срок или условие прекращения обработки персональных данных, сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки, сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ, Ф.И.О. физического лица или наименование юридического лица, имеющих доступ и осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах, сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством России. Подавая уведомление, оператор для каждой цели обработки персональных данных должен указать в нем также категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных.

Подача уведомления

Уведомление можно подать как на бумажном носителе, так и в электронной форме. Выбрать удобную для себя форму подачи можно самостоятельно. Составить уведомление в электронной форме можно с помощью портала Роскомнадзора. Заполнив такую форму и отправив ее в Роскомнадзор в электронном виде, необходимо также распечатать ее и направить по почте. Уведомление полностью в электронной форме можно направить только через портал Госуслуг. В этом случае распечатывать уведомление на бумаге и отправлять в Роскомнадзор не нужно.

Проверка уведомления и внесение в реестр операторов

В течение 30 дней с даты поступления уведомления Роскомнадзор обязан внести указанные в нем сведения в Реестр операторов персональных данных. Оператор должен внимательно следить за правильностью сведений, вносимых в уведомления для отправки в Роскомнадзор. В случае обнаружения ошибок этот орган вправе потребовать уточенные сведения. Такие сведения необходимо представить в Роскомнадзор не позднее 30 дней с даты получения от него соответствующего запроса. Кроме того, оператор должен своевременно сообщать в Роскомнадзор об изменении или прекращении обработки персональных данных. Например, об изменении срока обработки персональных данных. Сделать это нужно не позднее 10 рабочих дней с даты возникновения таких изменений или даты прекращения обработки персональных данных.

Как утвердить положение о персональных данных и иные документы?

Согласно требованиям ст. 87 ТК РФ каждый работодатель обязан утвердить порядок хранения и использования персональных данных своих работников. Для этого необходимо утвердить соответствующий документ.

Положение о персональных данных и их защите

Это локальный нормативный акт, который регламентирует порядок получения, использования и хранения персональных данных сотрудников работодателя. Форма Положения о персональных данных законом не утверждена, поэтому его придется составить самостоятельно. Закон не содержит четкого перечня сведений, которые должны содержаться в этом документе, конкретные положения придется определить самостоятельно. Положение является общим документом, определяющим политику организации в области обработки персональных данных. Данное Положение следует утвердить приказом руководителя организации или иного уполномоченного работодателем лица. При наличии в организации представительного органа работников локальные акты должны приниматься с учетом его мнения в порядке ст. 372 ТК РФ.

Помимо Положения о персональных данных у работодателя должны быть Политика обработки персональных данных, Приказ о назначении ответственного за организацию обработки персональных данных у работодателя.

Другие документы

Закон не конкретизирует перечень документов, которые следует составить работодателю, обрабатывающему персональные данные сотрудников. Помимо общего Положения о персональных надо составить Инструкцию о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, Приказы о возложении персональной ответственности за защиту персональных данных, Перечень персональных данных, обрабатываемый работодателем, в него включается категория данных, объем и срок хранения, способ обработки, перечень должностей сотрудников, их обрабатывающих, наличие согласия на обработку, Регламент допуска сотрудников к обработке персональных данных, Перечень допущенных сотрудников к обработке персональных данных, Перечень информационных систем, обрабатывающих персональные данные с указанием места расположения, Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.

Ознакомление сотрудников с Положением о персональных данных и другими документами

В соответствии с требованиями п. 8 ст. 86 ТК РФ работники и их представители должны быть ознакомлены с документами, устанавливающими порядок обработки персональных данных, а также с правами и обязанностями в этой области. Поэтому с вышеперечисленными документами следует ознакомить сотрудников под подпись. При этом закон не устанавливает конкретной формы ознакомления – работодатель вправе сам решить, каким образом фиксировать это в своих документах. Например, распространена практика оформления журнала ознакомления с локальными нормативными актами. Для подтверждения факта ознакомления работник должен поставить подпись в соответствующей графе. Возможны и иные варианты, например, подтверждение в виде отдельного документа, включение соответствующего пункта в трудовой договор и т.д. Если у работодателя применяется кадровый электронный документооборот, то работников можно ознакомить с локальными нормативными актами в электронной форме.

Публикация информации о порядке обработки персональных данных

Согласно закону операторы персональных данных обязаны опубликовать или иным способом предоставить всем желающим неограниченный доступ к документу, определяющему их политику в отношении обработки персональных данных. Если сбор персональных данных осуществляется через интернет, оператор обязан опубликовать такой документ в интернете. Закон № 152-ФЗ не конкретизирует, что это за документ. Это может быть и Положение о персональных данных, и любой другой аналогичный документ. Эту информацию можно разместить, например, на информационном стенде, доступном всем желающим, на интернет-сайте и т.д. Исполнение этих требований может быть проверено Роскомнадзором в любое время. Если от него поступил соответствующий запрос, необходимо представить указанные выше документы, а также доказательства выполнения требований закона о публикации таких документов.

Заказать звонок

Сэкономьте время! Оставьте заявку на консультацию специалиста 1С.

Ваше имя

Телефон *

Подтвердите, что вы не робот *

Нажимая на кнопку , Вы даете согласие на обработку своих персональных данных и соглашаетесь с политикой конфиденциальности

Вконтакте

Содержание статьи

Рассылка нашего блога

Электронная почта *

Политика конфиденциальности персональных данных.

Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всей информации, которую данный сайт, может получить о Пользователе во время использования (а также его субдоменов), его программ и его продуктов.
1. Определение терминов.
В настоящей Политике используются следующие термины:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному юридическому или физическому лицу (субъекту персональных данных);
– оператор персональных данных – Администрация сайта (далее – Администрация) – сотрудники, уполномоченные на управление, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.;
– сайт — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL), а также его субдоменах;
– субдомены – это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту, а также другие временные страницы, внизу который указана контактная информация Администрации;
– пользователь сайта (далее Пользователь) – лицо, имеющее доступ к сайту, посредством сети Интернет и использующее информацию, материалы и продукты сайта.
2. Общие положения.
2.1 Назначение политики конфиденциальности.
2.1.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет .
2.2. Права и обязанности сторон.
2.2.1. Пользователь вправе:
2.2.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта, и давать согласие на их обработку.
2.2.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
2.2.1.3. Пользователь имеет право на получение у Администрации информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Пользователь вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.2.2. Администрация обязана:
2.2.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 3 настоящей Политики конфиденциальности.
2.2.2.2. Принять меры для хранения конфиденциальной информации в тайне,
не разглашать без предварительного письменного разрешения Пользователя, а также
не осуществлять продажу, обмен, опубликование, либо разглашение иными
возможными способами переданных персональных данных Пользователя,
за исключением п. 6.3. настоящей Политики Конфиденциальности.
2.2.2.3. Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте.
2.2.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
2.3. Использование сайта Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.4. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.5. Настоящая Политика конфиденциальности применяется к сайту.
2.6. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.
3. Цели сбора персональных данных.
3.1. Персональные данные Пользователя Администрация может использовать только в связи с заключением договора, стороной которого является субъект персональных данных. Персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
4. Правовые основания обработки персональных данных.
Правовым основанием обработки персональных данных является:
– федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
– уставные документы оператора;
– договоры, заключаемые между оператором и субъектом персональных данных;
– согласие субъекта на обработку персональных данных;
5. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5.1. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения форм на сайте и включают в себя следующую информацию:
5.1.1. имя Пользователя;
5.1.2. контактный телефон Пользователя;
5.1.3. адрес электронной почты (e-mail).
5.2. К категориям субъектов персональных данных относятся работники оператора.
Порядок и условия обработки персональных данных.
6.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
6.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
6.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
7. Разрешение споров.
7.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем и Администрацией, обязательным является предъявление претензии (письменного предложения или предложения в электронном виде о добровольном урегулировании спора).
7.2. Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно или в электронном виде уведомляет заявителя претензии о результатах рассмотрения претензии.
7.3. При не достижении соглашения спор будет передан на рассмотрение Арбитражного суда.
7.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией применяется действующее законодательство Российской Федерации.
8. Дополнительные условия.
8.1. Администрация вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
8.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики конфиденциальности.

Настройки

Назад к списку