Что такое обработка персональных данных и как она производится?

Какие сведения собираются?

Персональные сведения — это данные о физическом лице:

  • фамилия, имя, отчество;
  • место и дата рождения;
  • адрес;
  • семейный и социальный статус;
  • доходы и активы;
  • образование;
  • медицинский диагноз;
  • сведения и заключения о состоянии здоровья;
  • полис ОМС;
  • оказанные медицинские услуги.

Внимание! Обработка персональных сведений осуществляется только с согласия в письменной форме либо подачи документа, подписанного электронной подписью. Оператор вправе поручить обработку другой компании (с согласия субъекта личной информации).

Оператор персональных данных

Все до одного предприятия и организации в независимости от формы собственности – это операторы персональных данных, потому что они осуществляют их обработку.

В российском законодательстве содержится четкое определение понятия «обработка персональных данных».

К ней относятся любые действия, совершаемые оператором над индивидуальной информацией:

  • сбор,
  • уточнение,
  • систематизацию,
  • использование,
  • удаление,
  • хранение и др.

И если раньше к персональным данным относили лишь ФИО, место рождения, адрес регистрации, данные паспорта, то сейчас это любая информацию о человеке, например, сведения об образовании, доходах, семейном положении и т.д.

Но работодатель не наделен правом обрабатывать информацию о политических взглядах, религиозных убеждениях, личной жизни сотрудника.

Закон предписывает: любая работа с индивидуальными данными сотрудников, должна проводиться только на базе нормативных актов, содействовать интересам сотрудников в трудоустройстве, карьере, обучении, обеспечивать их личную безопасность. Также обрабатывать данные можно с целью осуществления контроля качества и объемов работы, сохранения имущества.

Для каких целей?

Обработка данных — это определенный набор действий для их использования (сбор, накопление, хранение и пр.). Еще до начала сбора информации должна быть сформирована цель, ради, которой собираются данные. Например, идентификация клиента среди других либо учет сведений обо всех партнерах и потребителях компании. Обработка должна ограничиваться достижением этих целей.

Требования к обработке информации:

  1. Осуществляется с согласия владельца.
  2. Без согласия, но при этом:
    • в целях судопроизводства, в том числе исполнительного;
    • для выполнения журналистской работы;
    • в статистических или иных исследовательских целях.

Обрабатываемые данные подлежат уничтожению либо обезличиванию, когда договор закончился или обязательства выполнены. Сведения, которая передаются, должны быть в любое время исключены из общедоступных источников, если человек не согласен с таким обнародованием либо если есть соответствующее решение суда.

О том, каковы цели обработки ПД, мы более подробно рассказываем тут.

Организация обработки персональных данных

Вопрос использования личной информации о потребителе регулируется законом «О персональных данных», а также целым рядом подзаконных актов (Перечнем персональных данных, Положением об особенностях обработки, должностными инструкциями) и другими документами.

https://www.youtube.com/watch?v=ytpolicyandsafety

Сами компании разрабатывают целый пакет документов, регулирующих вопросы получения и защиты, полученных от клиента сведений. Например, Политику в отношении обработки.

О правовом обеспечении обработки ПД читайте здесь.

Перед обработкой персональных данных работодатель должен информировать сотрудника о целях, источниках, методах сбора и характере сведений о нем, получить письменное согласие на их обработку.

Если обработка данных сотрудников осуществляется лишь по поводу трудовых отношений, то их согласие не требуется. Например, не нужно разрешение работника для внесения его данных в кадровую документацию, составления доверенности на представительство, сдачи сведений, содержащихся в отчетах.

В других ситуациях необходимо получать согласие, например, когда банк запрашивает информацию о размере заработной платы или лицензирующий орган – копию диплома.

READ  Выращивание поросят - рекомендации ветспециалистов Ветеринарная служба Владимирской области

До начала обработки данных, предприятие должно известить об этом Роскомнадзор. Без уведомления этой организации фирма имеет право обрабатывать индивидуальные сведения в рамках трудовых отношений и трудового законодательства.

Однако, если планируется передавать личную информацию, например, для оформления банковской зарплатной карты или по программе медицинского страхования, то уведомление в Роскомнадзор оформлять и отправлять обязательно. Данный документ можно составить как в бумажной, так и в электронной форме.

После этого каждому работодателю полагается назначить лицо, ответственное за организацию обработки данных. Таким лицом может быть любой работник прошедший инструктаж.

Трудовой кодекс указывает на следующие права работников:

  • знать о том, какая персональная информация хранится у работодателя, и как она обрабатывается;
  • иметь свободный доступ к своим данным и получать копии записей;
  • определять представителей для защиты своих данных;
  • получать медицинские данные о своем здоровье;
  • требовать исключения или поправки неправильной информации о себе;
  • просить работодателя об извещении все третьих лиц, которым были переданы неправильные или неполные сведения, обо всех исправлениях, дополнениях, исключениях;
  • обращаться в суд в случае неправомерных действий работодателя в области обработки и защиты информации.

https://www.youtube.com/watch?v=ytabout

Таким образом, организация обработки персональных сведений сотрудников на сегодняшний день требует применения целого ряда мер:

  • начиная с изучения целей и состава работы с персональной информаций, разработки внутрифирменных нормативных актов и т.д.,
  • заканчивая приобретением специального оборудования для хранения документов, внедрением систем защиты от неправомерного доступа третьих лиц.

1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;3.

Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;4. Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

Когда же организация не попадает под вышеуказанные пункты, она должна в обязательном порядке подчиниться требованиям закона. Все остальные случаи, относящиеся к сбору, обработке и хранению персональных данных, регламентируются согласно Федеральному закону № 152 «О персональных данных». Практически все организации попадают под данные требования, так как почти все компании тем или иным образом производят обработку персональных данных своих сотрудников или других физических лиц. При этом все личные данные должны быть строго конфиденциальны.

Для того, чтобы риск претензий от владельцев персональных данных и государственных органов был минимальным, нужно выполнить комплекс работ, которые обосновывают необходимость обработки персональных данных. Также необходимо выполнить требования обеспечения конфиденциальности и при неавтоматизированной обработке, и в случае обработки персональных данных в информационных системах.

READ  Кошка орет после стерилизации это норма или патология

Ответственные лица

Обработку сведений осуществляет оператор. Для этого он назначает ответственного специалиста, который обязан осуществлять контроль за соблюдением требований закона о защите данных. Это может быть, например, сотрудник технического или юридического отдела, бухгалтерии или отдела кадров. Эти функции должны быть обозначены в его должностной инструкции или трудовом контракте.

Функции ответственного:

  • Что такое обработка персональных данных и как она производится?подготовка организационно-распорядительной документации;
  • информировать руководство обо всех попытках несанкционированного доступа к охраняемым сведениям;
  • следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности;
  • контролировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
  • прием и обработка обращений и запросов владельцев данных.

Важно! Ответственный обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы и пресекать действия других лиц, которые могут привести к разглашению такой информации.

В случае увольнения ответственный обязан вернуть все документы и материалы, относящиеся к своей деятельности.

Пошаговую инструкцию по назначению лица, ответственного за организацию обработки ПД, мы привели в отдельной статье.

Хранение и передача персональных данных

Понимая высокую значимость и ценность персональной информации, государство проявляет заботу о соблюдении прав всех своих граждан в области защиты индивидуальных сведений и обязывает всех работодателей создавать условия для этого в рамках своей организации.

Как хранить данные, предприятие решает самостоятельно, закрепляя порядок хранения в определенном документе, как правило, в Положении о персональных данных, или в Правилах внутреннего распорядка.

При обработке личных данных работника необходимо помнить о том, что:

  • передача индивидуальных сведений третьим лицам строго запрещена без согласия сотрудника. Исключением здесь являются ситуации, когда это нужно для предупреждения угрозы здоровью и жизни человека;
  • под запретом находится передача данных о сотруднике в коммерческих целях без его разрешения;
  • лица, обрабатывающие персональные данные, не должны их разглашать, соблюдать режим конфиденциальности (ответственность за неразглашение можно закрепить в должностных инструкциях);
  • информация передается в рамках одной организации, у одного работодателя в соответствии с внутрифирменным нормативным актом, с которым должен быть ознакомлен каждый сотрудник;
  • доступ к базе данных разрешается только отдельным лицам, и работают они исключительно с информацией, необходимой им для выполнения трудовых функций;
  • запрещен сбор сведений о состоянии здоровья сотрудников, за исключением той информации, которая напрямую связана с вопросом о возможности выполнения должностных обязанностей.

Исключением в области передачи данных является информирование некоторых Государственных органов о несчастном производственном случае, а также отправка сведений в ПФР, налоговую службу, ФСС, службы госконтроля и надзора за исполнением трудового законодательства.

Лучше всего, если специалисты, обрабатывающие персональные данные, находятся отдельно от других работников. На рабочих местах данных лиц должны быть размещены сейфы для хранения документов.

Начало процедуры

Наниматель и его помощники при работе с персональной информацией сотрудника обязаны соблюдать определенную правомерность своих действий. Порядок обработки личных данных работников:

  1. Персональные сведения заносятся в электронную базу данных предприятия либо фиксируются на бумажных носителях (личная карточка, дело, трудовая книга и др.).
  2. Работодатель, опираясь на законодательство, устанавливает порядок доступа к обработке личной информации сотрудников.
  3. В должностных инструкциях специалистов, имеющих доступ к личным данным других лиц, нанимателем прописываются их обязанности по работе с информационными системами и соответствующей бумажной документацией.
  4. Обработка персональных сведений должна осуществляться в специальных помещениях, таких как кабинет бухгалтера, комната отдела кадров.
  5. Требования к помещениям, обеспечивающие защищенность информации, утверждаются работодателем.
  6. Список лиц, обладающих правом доступа к индивидуальной информации сотрудников и к непосредственной работе с ней, устанавливается посредством приказа руководителя компании.
  7. Сотрудники, допущенные к личным данным других работников, подписывают соглашение «О неразглашении».
  8. Лица, ответственные за работу с персональной информацией, имею право использовать только определенные данные, требующиеся для конкретной операции, остальные же сведения не должны открываться.
  9. При использовании автоматизированных систем обработки и хранения информации, нужно опираться на постановление Правительства РФ №1119 п. 3, 4 от 01.11.2012г., указывающее на обязательства конкретной организации по обеспечению безопасности персональных сведений (подробнее об обязательстве о неразглашении и других документах читайте тут). Меры по защите сведений утверждены постановлением Правительства РФ №512 от 06.07.2008г. и приказом Роскомнадзора №996 от 05.09.2013г.

    Подробнее о том, что такое положение о защите персональных данных работника, читайте в этом материале.

    ВАЖНО.

    При выборе меры защиты персональных данных, следует исходить из степени их важности и уровня наносимого вреда, вследствие

    доступа

    к ним.

  10. Для правильного ведения ручной обработки информации (книги, журналы, реестры) в инструкции должны прописываться требования постановления Правительства РФ №687 от 15.09.2008г.
  11. Передаваться личные сведения о работнике могут только в случае выполнения требований, указанных в статье 88 ТК РФ.

Наниматель имеет право получить и, в дальнейшем, обрабатывать персональную информацию работника, по причине заключения с ним трудовых отношений.

READ  Варроатоз пчел - лечение пластинками весной и борьба с помощью других препаратов

Необходимая документация и защита ПО

Прежде чем начать принимать и обрабатывать информацию о клиентах, нужно позаботиться о подготовке документации в соответствии с рекомендациями Роскомнадзора, а также принять технические меры по обеспечению защиты (например, установить соответствующее программное обеспечение, антивирусы, меры защиты от несанкционированного доступа, средства криптографической защиты).

https://www.youtube.com/watch?v=ytdev

При обработке необходимо:

  1. Что такое обработка персональных данных и как она производится?Четко сформулировать цель.
  2. Определить, данные каких категорий будут использоваться.
  3. Разработать Политику в отношении обработки и если требуется уведомить Роскомнадзор (что из себя представляет такое уведомление узнаете тут).
  4. Позаботиться о защитных средствах.
  5. Определить структуру информационной системы.
  6. Выяснить режим обработки данных и разграничения прав доступа пользователей информационной системы.
  7. Идентифицировать местонахождение технических средств системы.
Справка!Оператор

может передавать полученную информацию исключительно своим сотрудникам, а также подрядчикам, но исключительно в пределах цели обработки. Согласие на использование персональных данных действует бессрочно с момента его предоставления.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector