Новое в обработке персональных данных

Информационная поддержка по вопросу: "Новое в обработке персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных

С этой целью новой редакцией статьи 13.11 КоАП РФ расширен перечень составов правонарушений, а также увеличены размеры штрафов.

Так, в частности, установлена административная ответственность за:

обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц — от 5000 рублей до 10000 рублей, на юридических лиц — от 30000 рублей до 50000 рублей);

обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;

невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).

В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц — от 500 рублей до 1000 рублей, на юридических лиц — от 5000 рублей до 10000 рублей.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Источник: http://www.consultant.ru/law/hotdocs/48775.html/

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;

наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Источник: http://tilda.education/articles-personal-data-law

Положение о персональных данных работников в 2019 году: образец

Положение о персональных данных работников – образец 2019 года вы найдете в этой статье. Какой текст положения с учетом всех требований законодательства? Приведем пример.

Персональные данные сотрудников – любая информация, необходимая администрации в связи с трудовыми отношениями и касающаяся конкретного сотрудника (п. 1 ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).

В бухгалтерии и кадровой службе хранятся документы, в которых персональные данные сотрудников, – ведомости по зарплате, личные карточки, личные дела и другие. Все персональные данные сотрудника можно получить только от него самого.

Положение о персональных данных: структура

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Положение о персональных данных относится к тем локальным актам, которые обязательно должны быть в организации. Работодатель должен локальным нормативным актом (Положением о персональных данных) определить порядок хранения, обработки и использования персональных данных. Отсутствие Положения может быть квалифицировано государственной инспекцией труда как нарушение трудового законодательства. Такой вывод также подтверждается судебной практикой (см. Постановление ФАС Московского округа от 26.10.2006 N КА-А40/10220-06 по делу № А40-20745/06-148-194).

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

Читайте так же:  Документы для разрешения на оружие охотничье гладкоствольное

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Образец положения о персональных данных 2019

Далее приведем возможный текст положения о защите персональных данных в 2019 году:

Общество с ограниченной ответственностью «Стелла»

(ООО Стелла»)

__________ А.С. Пушкин

9 июля 2019 года

ПОЛОЖЕНИЕ

О работе с персональными данными работников

9 июля 2019 года Москва

1. Общие положения

1.1. Положение о работе с персональными данными работников ООО «Стелла» разработано в соответствии с Трудовым кодексом РФ, Законом от 27 июля 2006 г. № 152-ФЗ и нормативно-правовыми актами, действующими на территории РФ.

1.2. Настоящее Положение определяет порядок работы (сбора, обработки, использования, хранения и т. д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике, предоставленных работником работодателю.

1.3. Настоящее Положение вступает в силу с 9 июля 2018 года.

2. Получение и обработка персональных данных работников

2.1. Персональные данные работника работодатель получает непосредственно от работника.
Работодатель вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве.

2.2. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
– пол;
– дату рождения;
– семейное положение;
– отношение к воинской обязанности;
– местожительство и домашний телефон;
– образование, специальность;
– предыдущее(ие) место(а) работы;
– иные сведения, с которыми работник считает нужным ознакомить работодателя.

2.3. Работодатель не вправе требовать от работника представления информации о политических и религиозных убеждениях и о его частной жизни.

2.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами.

2.5. При изменении персональных данных работник письменно уведомляет работодателя о таких изменениях в разумный срок, не превышающий 14 дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, относящаяся к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за ведение личных дел – бухгалтер организации.

3. Хранение персональных данных работников

3.1. Анкета работника хранится в его личном деле. В личном деле также хранится вся информация, которая относится к персональным данным работника. Ведение личных дел возложено на отдел бухгалтерии, ответственный за комплектование личных дел – бухгалтер организации.

3.2. Личные дела и личные карточки хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела и личные карточки находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. В конце рабочего дня все личные дела и личные карточки сдаются в отдел бухгалтерии.

3.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли устанавливаются заместителем руководителя организации и сообщаются индивидуально работникам, имеющим доступ к персональным данным работников.

3.4. Изменение паролей заместителем руководителя организации происходит не реже одного раза в два месяца.

3.5. В целях повышения безопасности по обработке, передаче и хранению персональных данных работников в информационных системах проводится их обезличивание. Для обезличивания персональных данных применяется метод введения идентификаторов, то есть замена части сведений персональных данных идентификаторами с созданием таблиц соответствия идентификаторов исходным данным.

3.6. Доступ к персональным данным работника имеют руководитель организации, его заместитель, главный бухгалтер, а также непосредственный руководитель работника. Специалисты отдела бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций. Доступ специалистов других отделов к персональным данным осуществляется на основании письменного разрешения руководителя организации или его заместителя.

3.7. Копировать и делать выписки из персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя организации, его заместителя и главного бухгалтера.

4. Использование персональных данных работников

4.1. Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует персональные данные, в частности, для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера зарплаты. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

Читайте так же:  Прерывание срока исковой давности претензией

5. Передача персональных данных работников

5.1. Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.

5.2. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом или настоящим Положением на получение информации, относящейся к персональным данным работника, работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается в личное дело работника.

5.4. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом РФ, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

5.5. Работодатель обеспечивает ведение журнала учета выданных персональных данных работников, в котором регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

6. Гарантии конфиденциальности персональных данных работников

6.1. Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.

6.2. Работник вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.

6.3. В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений.

Источник: http://buhguru.com/kadrovaya-rabota/polozhenie-o-personalnyh-dannyh-2019.html

Новое в работе с персональными данными

Новое в работе с персональными данными

Две новости: хорошая и плохая. Плохая: появятся два новых штрафа за нарушения в работе с персональными данными. Подробнее об этих изменениях узнаете чуть ниже.

Если в личном деле сотрудника, других документах и папках будете хранить данные, которые уже обработали и которые больше не требуются, компанию оштрафуют на 50 тыс. руб., ч. 1 ст. 13.11 КоАП.

Персональные данные не должны быть избыточными по отношению к заявленным целям их обработки, ч. 5 ст. 5 Закона № 152-ФЗ. Как только вы выполнили необходимые действия и процедуры, оформили кадровые документы, предоставили сотруднику гарантии и компенсации и т. д., персональные данные больше не нужны. Копии документов верните сотруднику или уничтожьте.

Хорошая новость — мы разработали способы, как организовать работу с персданными так, чтобы было удобно вам и безопасно для компании. Как облегчить себе работу — узнаете из статьи.

Выложите на сайт компании Политику о персональных данных

Сколько стоит согласие на обработку персданных на все случаи жизни читайте ниже

Опубликуйте или иным образом обеспечьте неограниченный доступ к документу, который определяет политику компании в отношении обработки персональных данных, ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ. Политика в области обработки персональных данных — обязательный документ для каждого работодателя.

Вы не можете сократить количество локальных актов и утвердить только Положение о порядке обработки и защите персональных данных. Если у вас нет Политики либо она есть, но вы не опубликовали ее на сайте или другим способом не обеспечили к ней свободный доступ, компании придется платить штраф до 30 тыс. руб., ч. 3 ст. 13.11 КоАП.

Компания должна утвердить Положение о защите персональных данных и другие локальные акты, установить в них порядок обработки персональных сведений, права и обязанности сотрудников в этой области, п. 8 ст. 86 ТК. Но эти локальные акты не заменят Политику, выбрать один из документов не получится.

Политика в отношении обработки персональных данных.

Если у вас нет Политики, как можно скорее утвердите документ. За образец возьмите наше Положение о политике компании в отношении обработки персональных данных.

Если у вас есть Политика, убедитесь, что редакция документа актуальная и он доступен по ссылке на официальном сайте компании.

Скорректируйте Политику по рекомендациям Роскомнадзора

Как не забыть вписать в согласие нужные сведения читайте ниже

Чтобы избежать претензий к содержанию Политики, приведите ее в соответствие с рекомендациями Роскомнадзора.

Видео (кликните для воспроизведения).

Убедитесь, что в документе есть необходимая информация, даже если вы указали ее в других разделах. Если сведений не хватает, дополните Политику и не забудьте разместить новую редакцию на сайте.

Если содержание вашей Политики сильно отличается по составу сведений от рекомендованного Роскомнадзором, советуем утвердить новый документ и заменить старую версию на сайте.

Два новых штрафа за нарушения в работе с персональными данными

Работодателя, который без согласия работника передаст его персональные данные третьим лицам, будут штрафовать на сумму от 20 тыс. до 40 тыс. рублей. Депутаты предлагают выделить это нарушение в отдельный состав. Утверждают, что «это повысит эффективность защиты прав работников».

Напомним, что сейчас за разглашение без согласия работника его персданных третьим лицам, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. рублей, но по ч. 2 ст. 13.11 КоАП.

Второй новый штраф грозит тем, кто хранит персональные данные сотрудников в зарубежных базах данных. Должностное лицо за это заплатит от 10 тыс. до 20 тыс. рублей, компания – от 15 тыс. до 75 тыс. рублей.

Собирать, хранить, уточнять и т.д. персональные данные работодатели должны с использованием баз данных, которые находятся на территории России, ч. 5 ст. 18 Закона от 27.07.2006 № 152–ФЗ о персданных. Это требование появилось еще три года назад – 1 сентября 2015 года. Теперь депутаты обнаружили, что ответственности за нарушение данного требования до сих пор нет, и решили дополнить ст. 13.11 новой частью с максимальным штрафом в 75 тыс. рублей.

Проект закона с поправками в КоАП уже прошел общественное обсуждение и антикоррупционную экспертизу

Положение об обработке персональных данных.

Не берите у сотрудника универсальное согласие на обработку персданных

Не тратьте зря время и не берите при приеме на работу у сотрудника универсальное согласие на обработку персональных данных, которое будет действовать вплоть до увольнения.

Письменное согласие должно быть «конкретным, информированным и сознательным», п. 1 ст. 9 Закона № 152-ФЗ. Универсальное согласие, которое вы берете «на все случаи жизни», этим требованиям не соответствует, а значит, можно считать, что согласие работника вы не получили. Если вы обработали персональную информацию без письменного согласия сотрудника, когда оно требовалось, должностное лицо оштрафуют от 10 до 20 тыс. руб., а компанию — от 15 до 75 тыс., ч. 2 ст. 13.11. КоАП.

Читайте так же:  Обжаловать исковое заявление

Компания вправе обрабатывать персданные только с письменного согласия сотрудника, ч. 4 ст. 9 Закона № 152-ФЗ. Обойтись без этого документа можно в случаях, которые называет закон. В других ситуациях запрашивайте у сотрудника отдельное письменное согласие.

Получите без письменного согласия работника его персональные данные у третьих лиц, тоже нарушите закон. По общему правилу персональные данные работника можно получить только у него самого. Если хотите взять сведения о работнике, например, в образовательном учреждении, на прежнем месте работы, заручитесь письменным согласием.

Как сообщить в банк размер зарплаты сотрудника читайте ниже

Заготовьте шаблоны согласия на обработку персданных

Чтобы избежать ошибок и экономить время, не составляйте каждый раз заново согласие на обработку персданных. Заготовьте шаблон и дополняйте его новыми данными по ситуации.

Возьмете у работника письменное согласие, а в документе не окажется обязательных сведений, компанию оштрафуют на 75 тыс. руб., ч. 2 ст. 13.11 КоАП.

Шаблон согласия на обработку персональных данных.

В письменном согласии на обработку персональных данных укажите, ч. 4 ст. 9 Закона № 152-ФЗ.

фамилию, имя, отчество, адрес сотрудника;

реквизиты паспорта или иного документа, удостоверяющего его личность, в том числе сведения о дате выдачи документа и выдавшем его органе;

наименование и адрес вашей компании;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дает согласие сотрудник;

перечень действий с персональными данными, на совершение которых сотрудник дает согласие;

способы обработки персданных, которые используете;

срок, в течение которого действует согласие сотрудника, и как его можно отозвать.

Шаблон отзыва согласия на обработку персональных данных.

Проследите, чтобы эта информация была в шаблоне, а затем и в каждом письменном согласии сотрудника.

Согласие на обработку персданных сотрудник должен подписать лично или поставить электронную подпись на электронном документе, ч. 4 ст. 9 Федерального закона № 152-ФЗ.

Сотрудник может в любое время отозвать согласие на обработку персональных данных. Сообщите сотрудникам об этой возможности.

Чтобы они не отвлекали вас каждый раз от работы с вопросом, что писать в таком документе, приложите шаблон письменного отзыва к Положению о защите персональных данных.

Шаблон уведомления о необходимости получить персданные у третьих лиц.

Чтобы получить данные сотрудника у третьих лиц, направьте ему письменное уведомление. В документе сообщите, с какой целью, откуда и как собираетесь получать его персональные данные, а также укажите последствия, если сотрудник не даст письменного согласия, п. 3 ч. 1 ст. 86 ТК. Сохраните шаблон уведомления, чтобы каждый раз не составлять его заново.

Не передавайте третьим лицам персданные работника без его письменного согласия

Если сотрудник устно попросит вас передать третьему лицу информацию, которая содержит его персданные, не делайте этого. Вы не вправе передать третьим лицам персданные сотрудника или бывшего работника без их письменного согласия. Устной просьбы в этой ситуации недостаточно. Такое нарушение проверяющие расценят как обработку данных без письменного согласия сотрудника и оштрафуют от 15 до 75 тыс. руб., ч. 2 ст. 13.11. КоАП.

Сотрудник или бывший работник может указать компанию в перечне рекомендателей, поручителей и других лиц, которые могут предоставить информацию. Однако даже если работник вас об этом попросит лично, не сообщайте сведения о нем, пока не принесет письменное заявление. Прежде чем направить сведения о сотруднике третьим лицам, убедитесь, что они имеют право получить эту информацию, а сотрудник письменно просит, чтобы вы ее передали.

Обяжите работников писать заявления, если они хотят, чтобы вы передали их персданные

Чтобы избежать штрафа за незаконную передачу персданных, объясните работникам, что сведения об их работе, зарплате и т. д. вы сообщите третьим лицам только по письменному заявлению.

Шаблон заявления о передаче персональных данных.

Оптимизируйте процесс: приложите шаблон такого заявления к Положению о защите персданных.

Бывшим работникам объясните, что они должны лично прийти в отдел кадров или прислать заявление по почте.

Если письменного заявления сотрудника нет, а вы получаете от третьих лиц устный запрос или письменную просьбу предоставить персональные сведения, не отвечайте по существу. Уточните, кто и с какой целью хочет получить персональные данные вашего нынешнего или бывшего сотрудника. После сообщите сотруднику, что о нем пытаются получить сведения, и спросите, дает ли он согласие на это. Советуем оформить письменное уведомление.

Если сотрудник даст письменное согласие, передавайте конфиденциальные данные третьему лицу.

Шаблон уведомления о передаче персональных данных

Когда будете передавать персональные данные сотрудника, сообщите получателю о статусе сведений и обязанности использовать персональные данные только в законных целях.

Если сотрудник откажется передавать сведения о себе третьим лицам, пусть напишет отказ на запрос.

Оставьте в личных делах документы, по которым не достигли цели обработки персданных

Храните персональные данные, пока не достигли цели их обработки. Вы не можете подшивать в личные дела все личные документы и копии, даже если получили их от работника.

Шаблон письменного ответа на запрос о передаче персональных данных.

Снимайте и заверяйте копии только для определенных целей. Когда достигнете цели, уничтожьте копию документа.

Источник: http://cokps.ru/2018/09/20/novoe-v-rabote-s-personalnymi-dannymi/

В закон «О персональных данных» внесены изменения

Изменения внесены в 21 статью закона, в том числе 12 статей (3, 5, 6, 7, 9, 11, 12, 14, 18, 19, 20, 21) изложены в новой редакции. Закон дополнен 2-мя новыми статьями: 18.1 «Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом» и 22.1 «Лица, ответственные за организацию обработки персональных данных в организациях».

Уточнено, что закон регулирует отношения, связанные с обработкой персональных данных осуществляемой с использованием, в том числе международной компьютерной сети «Интернет».

Установлено, что нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, но и органы местного самоуправления, а также Банк России.

Уточнены принципы и условия обработки персональных данных, в том числе определен исчерпывающий перечень случаев обработки персональных данных Подробно описан порядок принятия решения субъекта персональных данных на обработку своих персональных данных.

Изменения касаются также обязанностей оператора при обработке персональных данных, трансграничной передачи персональных данных, права субъекта персональных данных на доступ к его персональным данным.

Читайте так же:  Жалоба в суд на соседей

Подробно регулируются вопросы, связанные с поручением оператора обработать персональные данные другому лицу. Поправки закона также требуют, чтобы операторы при обработке персональных данных принимали меры для их защиты от неправомерного (случайного) доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, иных неправомерных действий и т.д.

Настоящий Федеральный закон вступает в силу со дня его официального опубликования. Действие положений закона в измененной редакции распространяется на правоотношения, возникшие с 1 июля 2011 года.

Источник: http://hr-portal.ru/news/v-zakon-o-personalnyh-dannyh-vneseny-izmeneniya

За какие нарушения по персональным данным с 1 июля 2017 штраф 75 тыс руб.

В очередной раз ужесточают ответственность за обработку персональных данных. С 1 июля 2017 года будет действовать новая редакция статьи 13.11 КоАП РФ. Список нарушений стал более детализированным, а размеры штрафов значительно выросли — до 75 тыс. руб. О том, как защититься от нарушений, читайте в статье.

Ответственность за нарушения по персональным данным

До 1 июля 2017 года размеры штрафов за нарушение закона о персональных данных составляют:

  • для юридических лиц – от 5 тыс. до 10 тыс. руб.;
  • для должностных лиц – от 500 до 1 тыс. руб.

Ниже в таблице приведу перечень нарушений и размеры новых штрафов за них с 1 июля 2017.

Вид нарушения

Размер штрафа

для юридических лиц

для должностных лиц

Обработка персональных данных в случаях, не предусмотренных законодательством, либо их обработка, несовместимая с целями сбора персональных данных*. Обработка персональных данных без письменного согласия субъекта персональных данных на их обработку* Обработка персональных данных с нарушением требований к составу сведений, отражаемых в письменном согласии субъекта персональных данных на их обработку Нарушение оператором требований законодательства в области обработки, хранения и предоставления персональных данных

Полномочия по возбуждению дел об административных правонарушениях в области персональных данных переданы от прокуроров к Роскомнадзору. Срок давности для административной ответственности – три месяца со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Протокол об административном нарушении составляют сотрудники Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Трудовая инспекция также вправе наказать за нарушения правил работы с персональными данными, которые установлены в трудовом законодательстве (например, если бухгалтер использует сведения сотрудника в незаконных целях или их утерял). Наказание – штраф от 1000 до 5000 руб., за повторное нарушение – штраф от 10 000 до 20 000 руб. или дисквалификация от одного года до трех лет (ч. 1, 2 ст. 5.27 КоАП РФ).

Срок давности для ответственности за персональные данные по трудовому законодательству – один год со дня нарушения (ч. 1 ст. 4.5 КоАП РФ). Кроме административной ответственности за нарушения в области обработки персональных данных могут привлечь к дисциплинарной, материальной и даже к уголовной ответственности.

Ситуации из практики: что изменится с 1 июля

Пример 2. Бухгалтер не предоставил сотруднику расчетный листок, справку, сведения о страховом стаже и другие документы, в которых есть персонифицированные сведения о человеке. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как сокрытие от человека его персональных данных и назначат штраф: на учреждение – от 20 000 до 40 000 руб., на бухгалтера – от 4000 до 6000 руб. (ч. 4 ст. 13.11 КоАП РФ).

Пример 3. Должностное лицо отказался принять к обработке новые паспортные данные человека, банковские реквизиты или другую изменяющую информацию – за такое нарушение инспекторы могут назначить штраф на учреждение – от 25 000 до 45 000 руб, а на должностное лицо – от 4000 до 10 000 руб.

Пример 4. Должностное лицо небрежно работает с документами, персональные сведения о сотруднике стали известны другим лицам из-за того, что он оставил на столе без присмотра или вынес с рабочего места справки, расчетные листки, другие документы с персональными данными или потерял эти документы. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как невыполнение требования человека уточнить, блокировать или уничтожить его персональные данные и назначат штраф: на учреждение – от 25 000 до 50 000 руб., а на бухгалтера – от 4000 до 10 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример 5. Должностное лицо передает имена, адреса, телефоны и другие данные сотрудников организациям, действующим в рекламных целях коллекторским агентствам или другим третьим лицам. С 1 июля 2017 г. инспекторы Роскомнадзора квалифицируют такое нарушение как обработку персональных данных, когда это не предусмотрено законами и не соответствуют целям сбора персональных данных и назначат штраф на учреждение – от 30 000 до 50 000 руб., а на бухгалтера – от 5000 до 10 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

О других видах ответственности

Материальная ответственность работника может наступить, если его нарушение привело к ущербу для учреждения (ст. 238 ТК РФ). К примеру, ответственный работник за обработку персональных данных распространил персональные данные сотрудников в сети Интернет, а те в свою очередь подали на работодателя в суд, который постановил: «выплатить пострадавшим работникам денежную компенсацию – 50 000 рублей каждому». В таком случае руководитель может привлечь как к ограниченной так и к полной материальной ответственности.

Самый страшный вид ответственности – это уголовная. Она может наступить за незаконные действия:

  • сбор или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
  • распространение сведений о работнике в публичном выступлении, публично демонстрирующемся произведении или СМИ.

Как защитить персональные данные

Этот вопрос решает каждый работодатель самостоятельно. Чиновниками утверждены меры по обеспечению безопасности персональных данных при их обработке (статья 19 Закона от 27 июля 2006 г. № 152-ФЗ и требованиях, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119). Злоумышленники могут уничтожить, изменить, заблокировать, скопировать информацию, предоставить ее третьим лицам. Иногда несанкционированный доступ случайно получают люди, у которых нет дурных намерений. Но угрозу безопасности персональных данных это не исключает.

Примите меры, чтобы предотвратить несанкционированный доступ к персональным сведениям в базе данных.

1. Ограничьте доступ сотрудников к компьютерам.

2. Введите систему индивидуальных паролей. Их нужно периодически менять.

3. Храните диски и другие носители информации в запирающихся шкафах.

4. Закрепите процедуру защиты информации в положении.

Положение об обработке персональных данных

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия сотрудника (ст. 7 от 27 июля 2006 г. закона № 152-ФЗ). Чтобы не допустить утечки информации, создайте систему защиты. Порядок получения, обработки, передачи и хранения сведений установите в локальном акте, например в положении о работе с персональными данными сотрудников.

Читайте так же:  Полное товарищество в англии

Положение утверждает руководитель учреждения. Ознакомьте сотрудников с положением под подпись (п. 8 ч. 1 ст. 86 ТК РФ). Руководитель определяет, кто будет отвечать за работу с персональными данными (ч. 5 ст. 88 ТК РФ). На практике такую работу поручают работникам отдела кадров, а в бухгалтерии – бухгалтеру по начислению зарплаты, так как они чаще всего имеют дело с персональными данными сотрудников.

Обработка данных без согласия сотрудника

Также не нужно получать согласие человека на обработку персональных данных в случаях, когда такая обработка предусмотрена законодательством. К таким случаям относится передача сведений в следующие органы:

  • Пенсионный фонд РФ (ст. 9 Закона от 1 апреля 1996 № 27-ФЗ);
  • налоговую инспекцию (ст. 24 НК РФ);
  • военные комиссариаты (ст. 4 Закона от 28 марта 1998 № 53-ФЗ);
  • иные органы (например, суды, прокуратуру, трудовую инспекцию и т. п.).

Кроме того, не требуйте согласия сотрудника для передачи персональных данных банку при открытии и обслуживании платежной карты для начисления зарплаты:

  • если договор на выпуск банковской карты заключен напрямую с сотрудником, а в договоре предусмотрена передача персональных данных работника банку;
  • если организация оформила доверенность на представление интересов сотрудника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании;
  • если соответствующая форма и система оплаты труда прописана в коллективном договоре учреждения (абзаце 10 пункта 4 разъяснений Роскомнадзора от 14 декабря 2012 г.).

Источник: http://www.klerk.ru/buh/articles/463154/

Новшества в законодательстве по персональным данным

С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». В народе его прозвали законом «о хранении ПДн россиян на территории РФ».

Один закон меняет сразу три

Закон № 242-ФЗ от 21.07.2014 вносит изменения в положения трех уже существующих нормативно-правовых актов:

— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» дополнен ст. 15.5, регламентирующей ведение реестра нарушителей прав субъектов ПДн. Также внесены изменения в ст. 16, определяющую обязанности обладателя информации (оператора информационной системы).

— Положения Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» теперь не распространяются на контроль за соблюдением требований в сфере распространения информации в сети «Интернет» и на контроль и надзор за обработкой персональных данных. Это означает ужесточение надзорной деятельности в этих сферах: значительное расширения оснований для проверок, отмену обязательного согласования проверок с прокуратурой, отмену обязанности Роскомнадзора размещать на своем официальном сайте план ежегодных проверок и другие меры.

— В ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» внесена ч. 5, обязывающая операторов выполнять запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ при сборе ПДн с использованием баз данных, находящихся на территории РФ (с небольшими исключениями).

Порядок трансграничной передачи персональных данных

По новым правилам восемь видов обработки ПДн (запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение) должны при сборе персональных данных производиться на территории РФ. Акцент следует сделать на слова «при сборе».

Давайте разберемся, что такое сбор персональных данных? Это понятие в ФЗ-152 не определено. Исходя из логики и здравого смысла, а также прислушиваясь к недавнему комментарию Минкомсвязи России, можно сделать вывод, что сбор персональных данных — не любое их получение, а получение лишь у субъекта персональных данных либо его законного представителя.

У операторов появилась обязанность собирать ПДн в российские базы, а далее, когда сбор окончен, закон не запрещает передавать, хранить, обновлять и совершать любые другие действия с данными, кроме сбора, на территории другого государства.

Новым законом не запрещается трансграничная передача персональных данных, ее правила никак не меняются. Осуществление трансграничной передачи данных, как и раньше, должно выполняться в соответствии со ст. 12 ФЗ № 152 «О персональных данных».

Где и как указывать сведения о базе данных?

В соответствии с нововведениями оператор персональных данных должен с 1 сентября 2015 года в уведомлении об обработке ПДн и информационном письме о внесении изменений сообщать Роскомнадзору сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ. Пункт о том, где выполняется хранение персональных данных — в России или за рубежом, должен стоять после сведений о трансграничной передаче. При этом на момент написания статьи (конец октября 2015 года) в формах уведомления и информационного письма на официальном сайте Роскомнадзора так и не появилось строчки для указания этой информации.

Тем временем Роскомнадзор уже засыпает ни о чем не подозревающих операторов письмами с требованием предоставить недостающие сведения. Остается только один вариант выполнить требования закона — вручную добавить эту информацию.

Рекомендации по предоставлению сведений:

  1. Заполните информационное письмо об изменениях, а если вашей организации еще нет в реестре операторов — уведомление об обработке на официальном сайте Роскомнадзора. Отправьте в ведомство электронную версию письма/уведомления. В печатную форму добавьте сведения о месте нахождения сервера с базами данных ПДн россиян и отправьте бумажный документ в Роскомнадзор по почте в измененном виде. Если сервер с базами данных принадлежит оператору, нужно указать адрес сервера, где хранится база данных граждан РФ, а если оператор использует серверные мощности другой компании, то — наименование, ИНН и адрес компании-владельца сервера.
  2. Проверьте, подпадает ли ваша деятельность под исключения (пп. 2, 3, 4, 8 ч. 1 ст. 6 ФЗ № 152 «О персональных данных»), например, не связана ли она с международным законодательством.
  3. Сфокусируйте внимание на грамотном построении и описании технологического процесса обработки информации в ИС персональных данных.

Анастасия Успенская, эксперт продукта Контур.Персональные данные компании СКБ Контур

Видео (кликните для воспроизведения).

Источник: http://kontur.ru/articles/2765

Новое в обработке персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here