Какие сведения относятся к персональным данным

Posted On 01.04.2018

Содержание

Что такое персональные данные

  1. Что включает понятие персональные данные

  2. Каков минимальный объем информации позволяет считать ее персональными данными?

  3. Является ли адрес электронной почты персональным данным?

  4. ИНН — персональные данные?

  5. Полезные ссылки по теме

Что включает понятие персональные данные

В связи с тем, что статьей 3 Закона о персональных данных понятие персональных данных имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства и адрес фактического проживания;
  • номер телефона (домашний, мобильный);
  • данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;
  • семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;
  • отношение к воинской обязанности;
  • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
  • СНИЛС;
  • ИНН;
  • информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО "Ромашка";
  • сведения о доходах в ООО "Ромашка";
  • сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

  • Какое сочетание указанной выше информации дает основание считать ее персональными данными?

  • Каков минимальный объем информации позволяет считать ее персональными данными?

  • Является ли фамилия (без указания имени и отчества) персональными данными?

  • Является ли адрес электронной почты персональными данными?

  • Является ли номер телефона персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "… Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст. 3 ФЗ "О персональных данных" от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) …" (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: если одновременно указываются фамилия, имя и отчество, то это сочетание представляет собой персональные данные.

Вопрос посложнее: является ли сочетание имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: "… в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума … Разрешая заявленные требования, суд пришел к обоснованному выводу об отказе в удовлетворении исковых требований, поскольку сведения, размещенные в Интернете по ссылке… не являются персональными данными истца, так как не содержат персонифицированных и детализированных данных, позволяющих определить в отношении какой квартиры, какого населенного пункта идет речь, а также отсутствует указание на фамилию, что не позволяет идентифицировать лицо, о котором идет речь …" (Определение судебной коллегии по гражданским делам Приморского краевого суда от 9 сентября 2013 г. по делу № 33-7063).

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных", т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: "… Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена".

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных".

Является ли адрес электронной почты персональным данным?

Судебной практики по этому вопросу найти не удалось.

Минкомсвязи России в своем Письме от 07.07.2017 № П11-15054-ОГ выразил следующее мнение: "… абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу".

Вывод: сам по себе адрес электронной почты не является персональными данными, подлежащими защите Законом № 152-ФЗ "О персональных данных" только если он в отдельности или в совокупности с другой информацией помогает идентифицировать конкретное лицо.

ИНН — персональные данные?

В Определении Верховного Суда РФ от 1 марта 2006 г. по делу № 13-В05-13 указано, что ИНН по своему законодательному предназначению подлежит, наряду с другими сведениями, использованию исключительно в целях налогового учета и не заменяет имя человека.

В Апелляционном определении Санкт-Петербургского городского суда от 3 февраля 2015 г. № 33-1644/2015 по делу № 2-3097/2014 суд сделал вывод, что ИНН как таковой нельзя причислить к персональным данным. В обоснование своей позиции суд сослался на Определение Конституционного Суда РФ от 10 июля 2003 г. № 287-О, в котором отмечено, что присвоение ИНН, по сути, не нарушает свободы совести и вероисповедания.

Статья написана и размещена 14 сентября 2017 года.

ВНИМАНИЕ!

Копирование статьи без указания прямой ссылки запрещено. Внесение изменений в статью возможно только с разрешения автора.

Автор: юрист и налоговый консультант Александр Шмелев © 2001 — 2018

Полезные ссылки по теме "Что такое персональные данные"

  1. Образец уведомления об изменении условий трудового договора

  2. Дополнительное соглашение к трудовому договору: когда заключается, форма, порядок заключения

  3. Сбор персональных данных на сайте

  4. Стимулирующие выплаты: премии, бонусы, доплаты и надбавки

  5. Согласие на обработку персональных данных

  6. Эффективный контракт

  7. Различия трудового и гражданско-правового договора

  8. Квалификационные требования к водителям

  9. Регулирование труда несовершеннолетних работников

  10. Рабочее время

  11. Ненормированный рабочий день

  12. Сверхурочная работа

  13. Ошибки в трудовом договоре

  14. Правила внутреннего трудового распорядка (образец)

  15. Производственный календарь на 2018 год

  16. Правовой календарь на 2018 год

  17. Расчет пособий ФСС в 2018 году

  18. Какой порядок предоставления очередного ежегодного оплачиваемого отпуска? Надо ли писать заявление

  19. Сгорит ли мой неиспользованный отпуск за прошлый год

  20. Отпуск по беременности и родам;

  21. Отпуск по уходу за ребенком от рождения до 1,5 лет;

  22. Отпуск по уходу за ребенком до 3 лет;

  23. В отпуск по новому или о несгораемом отпуске

  24. Работа и отпуск в новогодние праздники

  25. Если отпуск и праздничныедни совпадают

  26. Если во время отпуска по уходу за ребенком вы узнали о том, что работодатель собирается прекратить деятельность

Тэги: персональные данные, что такое

Данные о сотрудниках организации

Группа Подразде-ление, Должность Ф.И.О. сотрудника Данные сотрудника Оклад, руб. Персо-нальная надбавка
Дата приема на работу 01.02.20__ г.
Отдел кадров Офис   Начальник отдела кадров   Беляев Константин Петрович – 12.05.1956 г.р. – ИНН 550203000055 – Номер ПФР 065-011-00055 – Паспорт 5201 120355 выдан УВД Центрального АО г. Омска 01.02.2001 г. – Адрес: 644088 г. Омск ул. Мира 155 кв. 25. Имеет 2 детей Ежемесячная премия –5%
Бухгалтерия Офис   Кассир Петрова Анна Васильевна – 17.08.1978 г.р. – ИНН 550103000033 – Номер ПФР 065-012-00135 – Паспорт 5203 124365 выдан УВД Советского АО г. Омска 03.05.2003 г. – Адрес: 644099 г. Омск пр. Маркса, 56 кв. 48. Имеет 1 ребенка Ежемесячная премия – 4%
Секретари Офис   Секретарь Герасимова Ольга Сергеевна – 07.12.1980 г.р. – ИНН 550403015037 – Номер ПФР 065-012-00789 – Паспорт 5201 124585 выдан УВД Кировского АО г. Омска 03.01.2001 г. – Адрес: 644056 г. Омск ул. Лермонтова, 175 кв. 56. Ежемесячная премия – 2%
Рабочие Цех основного производства   Рабочий Горин Алексей Петрович – 28.02.1981 г.р. – ИНН 550103001145 – Номер ПФР 065-012-00756 – Паспорт 5202 124112 выдан УВД Советского АО г. Омска 04.11.2002 г. – Адрес: 644074 г. Омск ул. Красный путь, 145 кв. 11. Ежемесячная премия – 2%

5. Оформите приказ о приеме на работу новых сотрудников от 01.02.20__г. (табл. 3).

6. Оформите приказ на увольнение водителя Дубового И.Г. от 25.02.20__г. по собственному желанию.

7. Оформите больничные листки сотрудников:

Беляев К.П. предоставил в бухгалтерию больничный лист серия АА №4790555 от 08.02.20__г., по которому он болел с 05.02.20__г. по 07.02.20__г. в связи с общим заболеванием. Процент оплаты – 80% (ограничение размера пособия – Общее, в соответствии с Законом о бюджете ФСС). Имеется справку с прежнего места о том, что за предыдущие 12 месяцев основной заработок составил 84320 руб., а отработано дней – 218.

Герасимова О.С. предоставила в бухгалтерию больничный лист серия АБ №4715855 от 26.02.20__г., по которому она болела с 20.02.20__г. по 25.02.20__г. в связи с общим заболеванием. Процент оплаты – 60% (ограничение размера пособия – Общее, в соответствии с Законом о бюджете ФСС). Имеется справку с прежнего места о том, что за предыдущие 12 месяцев основной заработок составил 65400 руб., а отработано дней – 204.

8. Оформите невыходы на работу сотрудников:

а) Работник Горин А.П. не вышел на работу 12.02.20__г., причина – прогул.

б) Директор Иванов С.И. не вышел на работу 18.02.20__г., причина – прогул.

в) Бухгалтер Петрова М.И. не вышла на работу 24.02.20__г., причина не выяснена.

9. Оформите работу сотрудников в выходные дни 21.02.20__г. и 22.02.20__г. по 5 часов для работника Бреус Г.А., водителя Дубово- го И.Г. и начальника отдела кадров Белова К.П.

10. Оформите исполнительный лист: произвести удержание 01.02.20__г. с Беляева К.П. по исполнительному листу судебного органа, выданного судом Центрального округа от 01.02.20__г., способ – перечислением на расчетный счет с 01.02.20__г., получатель ОАО «Мираж», сумму 500 руб. до выплаты 5000 руб.

11. Произведите удержание профвзносов с заработной платы Герасимовой О.С. в размере – 0,5% с 01.02.20__г.

12. Начислите разовую премию от 28.02.20__г. за период работы с 01.02.20__г. по 29.02.20__г. в размере 1000 руб. Громову В.И. и Петровой М.И.

13. Начислите от 29.02.20__г. материальную помощь Ивано- ву С.И. в размере 5000 руб. (начисление единовременных поощрений производится документом Регистрация разовых начислений работников организации (вкладка Доп. начисления): подменю Расчет зарплатыПервичные документы→ Разовые начисления).

14. Начислите и выплатите через кассу заработную плату всем сотрудникам организации за февраль месяц.

15. Оформите документ на выплату депонента для работника Немова Н.С. (заработная плата Немова Н.С. была депонирована в январе):

а) выплата неполученной вовремя (задепонированной) зарплаты работнику регистрируется документом «Расходный кассовый ордер», в форме которого с помощью кнопки «Операция» следует установить вид операции «Выплата депонированной заработной платы». С помощью кнопки «Заполнить» табличную часть документа можно автоматически заполнить данными по всем невыплаченным депонентам, а лишние данные затем можно удалить вручную;

б) невыплаченные депоненты могут быть списаны в доход организации после истечения срока исковой давности по гражданскому законодательству. Данный факт регистрируется документом «Списание депонентов в доход организации»: меню Расчет зарплаты → Касса и банк → Списание депонентов в доход организации.

16. Сформируйте отчетность по депонентам за январь-февраль 20__г. (меню Расчет зарплаты → Касса и банк → Книга депонентов).

17. Рассчитайте платежи во внебюджетные фонды за февраль.

Контрольные вопросы

1. Как установить рабочую дату?

2. В какой последовательности необходимо создавать такие справочники как: Подразделения, Сотрудники, Штатное расписание, Должности?

3. Каким документом принимаются работники в организацию? Где данный документ находится в программе?

4. Как повысить оклад на 25 % только для одного или нескольких работников?

5. Когда бухгалтер оформляет в программе документ «Больничный лист»?

6. Для чего предназначен документ «Исполнительный лист»?

7. Каким документом производится удержание профвзносов?

8. Где в программе находится документ по депонированию заработной платы?

9. Каким документом оформляется выплата депонированной заработной платы?

10. Какие данные обязательно указывают в сведениях об организации?

11. Какие основные начисления включает ПВР Основные начисле-ния организации?

12. Какие дополнительные начисления включает ПВР Дополни-тельные начисления организации?

13.

Какие удержания включает ПВР Удержания организации?

14. Производится ли начисление районного коэффициента на материальную помощь?

15. В каких целях в учетной политике делается установка «проверка штатного расписания»?

16. В каких целях в учетной политике делается установка «проверять пересечение периодов начислений»?

17. Где в программе устанавливается расписание работы органи-зации?

18. Как в программе настроить производственный календарь?

19.

Что является персональными данными

Какие данные о сотруднике указываются в справочнике Сотрудники организации?

20. Какие необходимые реквизиты необходимо заполнить в Приказе о приеме на работу?

21. На основании каких документов производится индексация заработной платы в организации?

22. За счет чьих средств оплачивается больничный лист?

Дата добавления: 2015-11-23; просмотров: 351 | Нарушение авторских прав

Похожая информация:

Поиск на сайте:

Персональные данные

Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?

Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно.

Обработка персональных данных сотрудника — сроки и виды

Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.

Адрес статьи: http://rkn.gov.ru/treatments/p459/p468/

Дополнение к ответу: С целью исключения ошибочного уничтожения документов (носителей), содержащих персональные данные физических лиц (субъектов персональных данных), на момент утверждения Акта не подлежащих уничтожению (например: не истекли установленные сроки хранения, нет факта утраты необходимости в достижение цели, цели обработки не достигнуты), необходимо учесть обязательные требования законодательства Российской Федерации в области персональных данных и других, определяющих случаи и особенности обработки персональных данных федеральных законов. Оператору целесообразно:

  1. определить состав комиссии (основание — приказ Оператора) с обязательным включением лица, ответственного за обработку документов планируемых к уничтожению (по направлению деятельности, в пределах установленных полномочий);
  2. определить перечень, оформить список документов, подлежащих уничтожению, согласно установленных действующими нормативными правовыми актами сроков, например:
    • Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»;
    • Федеральным законом от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
    • Приказом Министерства культуры РФ от 25.08.2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Номенклатура дел, утверждаемая оператором ежегодно);
    • другими, определяющими случаи и особенности обработки персональных данных федеральными законами;
  3. после утверждения акта, перечисленные документы (носители) должны быть сверены с записями в акте и на указанных документах (носителях), далее персональные данные должны быть уничтожены, определенным и утвержденным Оператором способом уничтожения, путем: разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья, либо стирания на устройстве гарантированного уничтожения информации и т.п.);
  4. уничтоженные документы (носители), содержавшие персональные данные, с книг и журналов учета (регистрации) данных документов (носителей) должны быть списаны.

Вопрос: Из Федерального закона «О персональных данных» и подзаконных актов не ясен конкретный перечень внутренних документов, которые должна разработать организация. Какой необходимый минимальный комплект документов Вы рекомендуете разработать?

Ответ: Жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Это меры организационного, правового и технического характера.

Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором, это:

  • общий документ, определяющий политику оператора в отношении обработки персональных данных;

  • локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

  • локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

  • Подчеркиваю, перечень этот не исчерпывающий.

Адрес статьи: http://pd.rkn.gov.ru/faq/faq21.htm

Дополнение к ответу: Постановлением Правительства Российской Федерации от 21.03.2012 г.

№ 211 утвержден Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами

Обращаем Ваше внимание, что типовые формы документов, характер информации в которых предполагает или допускает включение в них персональных данных, могут храниться в формате цифровых копий при соблюдении требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и принятых на его основе нормативно-правовых актов ФСБ России и ФСТЭК России, например:

  1. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 г. № 21 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

  2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

  3. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв.

    Руководством 8 Центра ФСБ России 31.03.2015 г. №149/7/2/6-432).

Вопрос: в каком виде должны направляться собственникам помещений платежные документы об оплате коммунальных услуг?

Ответ: Пунктом 69 Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных постановлением Правительства Российской Федерации от 6 мая 2011 г.

№ 354 «О предоставлении коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов», установлен перечень сведений, содержащихся в платежном документе, в том числе, включающий почтовый адрес жилого помещения, фамилию, имя и отчество собственника или нанимателя жилого помещения.

В соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При доставке платежных документов в открытом виде до почтовых ящиков персональные данные жильцов не защищены от случайного к ним доступа третьих лиц

В силу пункта 3 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут относиться применение правовых, организационных и технических мер по обеспечению безопасности персональных данных. В целях соблюдения конфиденциальности персональных данных при доставке платежных документов и исключения возможности ознакомления третьих лиц с содержащимися в них сведениями используются различные способы — вложение указанных документов в конверт, бесконвертное склеивание, когда платежный документ складывается и запечатывается, и прочие.

Для решения вопроса о достаточности принимаемых операторами мер по защите персональных данных при доставке до почтовых ящиков необходимо оценивать все фактические обстоятельства, в том числе условия договоров об оказании услуг, заключенных между собственниками жилья и управляющими компаниями или ТСЖ, содержание письменного согласия граждан на обработку их персональных данных, привлечение оператором уполномоченных работников или третьих лиц, способ доставки счетов, и иные.

Ответы на часто задаваемые вопросы на сайте Роскомнадзора

Время публикации: 06.11.2015 15:07
Последнее изменение: 30.01.2017 16:40

ВОПРОС:

Пришел запрос из банка, что для оформления кредитной карты работницы необходимо подтвердить факт ее работы в организации, а также предоставить сведения о заработной плате, больничных, отпусках, командировках. Банк указал, что эти данные не являются персональными данными. Если нужно согласие работницы, то в какой форме?

ОТВЕТ:

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон о персональных данных)).

К ним относятся:

  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
  • прочие сведения, которые могут идентифицировать человека.

Статья: Защищаем секреты фирмы от разглашения работниками (Кокурина М.А.) ("Главная книга", 2018, N 3) {КонсультантПлюс}

Размер заработной платы не может быть коммерческой тайной. Например, не получится наказать работника за то, что он обсуждает размер собственной заработной платы с коллегами.

Вместе с тем размер зарплаты относится к персональным данным сотрудника. И такая информация получит судебную защиту в случае, когда ее разглашает работник, допущенный к работе с персональными данными или получивший ее незаконным способом.

Пункт 5 ст. 5 Закона N 98-ФЗ; ст.

Какие сведения относятся к персональным данным

129, 135 ТК РФ.

В отдельных организациях, в том числе в органах власти прямо предусмотрено, что сведения об отпусках, командировках и больничных относятся к персональным данным.

Приказ Росстата от 09.08.2013 N 316 (ред. от 03.11.2015) "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы государственной статистики, связанных с реализацией служебных или трудовых отношений" {КонсультантПлюс}

Подсистема исполнения и контроля исполнения бюджета ИВС Росстата в части ведения бухгалтерского учета и управления финансово-экономической деятельностью Федеральной службы государственной статистики в модуле "Зарплата и кадры бюджетного учреждения" содержит персональные данные государственных служащих центрального аппарата Росстата и включает:

  • должность субъекта персональных;
  • номер приказа и дату приема на работу (увольнения) субъекта персональных данных;
  • сведения о доходах с предыдущего места работы;
  • сведения об отпусках, командировках, больничных листах субъекта персональных данных.

Передача персональных данных работника третьим лицам возможна только с его письменного согласия.

Путеводитель по кадровым вопросам. Персональные данные работников {КонсультантПлюс}

Работодатель вправе осуществлять передачу персональных данных работника третьим лицам, в том числе в коммерческих целях, только с его предварительного письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ).

Перед передачей персональных данных работодатель должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

Обзор подготовлен специалистами Линии Консультирования ГК "Земля-СЕРВИС

Весь список документов по хранению персональных данных

Публикуем весь перечень документов, касающихся хранения и обработки персональных данных на сайте, с образцами и рекомендациями по их заполнению.

Продолжаем разъяснять требования законодательства о персональных данных к тем, у кого есть свой сайт.

Помимо документов для размещения на сайте вам необходимо подготовить документы, которые будут храниться непосредственно у вас. Согласно закону «О персональных данных», вы как оператор персональных данных обязаны принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Состав и перечень этих мер определяется самостоятельно оператором (то есть вы сами определяете, что и как будете делать, для того чтобы защитить персональные данные), и к ним могут относиться (п. 1 ст.18.1 Закона «О персональных данных»):

  1. Назначение оператором-юрлицом ответственного за организацию обработки персональных данных;
  2. Издание оператором–юрлицом документов, определяющих его политику в отношении персональных данных, локальных актов по обработке персональных данных, локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий нарушений;
  3. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  4. Осуществление внутреннего контроля и аудита соответствия обработки персональных данных закону, требованиям к защите, политике оператора и локальным актам;
  5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;
  6. Ознакомление работников оператора, которые осуществляют обработку персональных данных, с требованиями к защите персональных данных, документами и локальными актами.

Не все из этого может быть реализовано владельцами сайтов – физлицами (например, это касается ознакомления работников с документами), но это не значит, что доступ посторонних лиц (даже родственников и друзей) к персональным данным может быть неограничен. В этом случае они должны ознакомиться с требованиями к защите и подписать соглашение о неразглашении персональных данных.

Мы рекомендуем подготовить документы, подтверждающие, что вы принимаете необходимые правовые, организационные и технические меры для защиты персональных данных. В ст. 19 закона «О персональных данных» перечислены необходимые действия оператора.

Список мер обеспечения безопасности внушительный, и для успешного прохождения проверки Роскомнадзора нужно подготовить немало документов. Чтобы все это понять, требуется техническая подготовка. Для новичка это не так просто, но лучше обезопасить себя.

Некоторые компании и сайты оказывают услуги в их подготовке: Контур, Б-152, FreshDoc. А вот здесь можно скачать шаблоны этих документов.

В любом случае, вы должны проверить внутренние системы защиты персональных данных и подготовить документы:   

1. Перечень сведений конфиденциального характера

Это документ, в котором будет содержаться информация обо всех категориях и видах персональных данных, которые вы обрабатываете. Укажите, что Перечень разработан в соответствии с законом «О персональных данных» и Уставом организации (если вы представляете юрлицо), четко обозначьте ВСЕ виды категории персональных данных. Это можно сделать в виде таблицы. В этом же документе советуем указать цели и сроки обработки персональных данных.

Пример.

2. Инструкция администратора информационной безопасности

Администратор информационной системы персональных данных назначается приказом руководителя. В Инструкции перечисляем должностные обязанности, такие, например, как «знать и выполнять требования всех регулирующих документов, которые регламентируют порядок по защите информации», «обеспечивать установку, настройку и обновление информационной системы персональных данных», «обеспечивать функционирование средств защиты системы», «обеспечивать выполнение требований по обеспечению безопасности информации» и пр. Примеры: первый, второй.

3. Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

4. Перечень персональных данных, подлежащих защите в информационных системах.Пример.
Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»

5. Приказ об утверждении мест хранения персональных данных.

Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения. Пример.

6. Перечень помещений, в которых ведется обработка персональных данных.

7. Инструкция пользователей информационной системы персональных данных.

Этот документ определяет должностные обязанности всех, кто работает с персональными данными (осуществляет обработку и пр.). Пример.

8. Приказ о назначении комиссии по уничтожению персональных данных.

Уничтожению персональных данных придается особое значение. После того, как цели обработки выполнены, персональные данные должны быть уничтожены. Подробнее про уничтожение персональных данных написано здесь. Пример Приказа.

9. Проект системы защиты информационной системы персональных данных.Пример.

10. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации.Пример.

11. План внутренних проверок режима защиты персональных данных.

План можно сделать в виде таблицы, там укажите, с какой периодичностью будут осуществляться проверки режима и оборудования. Пример.

12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных.Пример.

13. Журнал учета носителей информации информационной системы персональных данных.

14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных.

Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия. Пример.

15. План проведения внутренних проверок состояния защиты ПД.

Образец документа можно найти здесь и здесь.

16. Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав.

Сюда запишите всех, кто обращается за информацией о своих персональных данных. Пример.

17. Правила обработки персональных данных без использования средств автоматизации. О регулировании здесь.

18. Положение о разграничении прав доступа к обрабатываемым персональным данным.Пример.

19. Акт классификации информационной системы персональных данных.

Информационная система – «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» (Закон РФ «Об информации, информатизации и защите информации»). Примером информационной системы может быть база данных, содержащая персональные данные, используемая в вашей организации. Даже если вы просто владелец сайта, то говорить об информационной системе мы можем тогда, когда собранные на сайте персональные данные заносятся в базу и потом обрабатываются.

В Акте укажите: кем используется система, категории персональных данных, объем обрабатываемых данных, тип информационной системы, структуру информационной системы, режим обработки персональных данных, наличие подключений к другим сетям связи, местонахождение технических средств.

Про информационные системы и классификацию можно прочитать здесь. Пример и еще один.

20. Инструкция по проведения антивирусного контроля в информационной системе персональных данных.Пример.

21. Инструкция по организации парольной защиты.

22.

Персональные данные работника: за сохранность и защиту спрашивают строже.

Журнал периодического тестирования средств защиты информации.

23. Форма акта уничтожения документов, содержащих персональные данные.

Если вы владелец сайта, обязательно создайте список, в котором вы будете фиксировать уничтожение персональных данных (что было сделано и когда). Пример и ещё.

24. Журнал учета средств защиты информации(перечень технических средств).Пример.

25. Журнал проведения инструктажа по информационной безопасности (для организаций).

26. Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций.

27. Приказ о перечне лиц, допущенных к обработке персональных данных.

28. Положение о защите персональных данных.

Цель этого документа – защитить персональные данные от несанкционированного доступа. В Положении можно прописать следующее: понятия из законодательства, цели и основания для обработки, права и обязанности оператора и субъектов персональных данных.

Опишите, как регламентируется внутренний доступ к персональным данным, кто имеет право доступа, каким образом ограничивается доступ, какие меры внутренней и внешней защиты применяются (пароли, регламентация состава работников, имеющих доступ к работе с персональными данными, обеспечение безопасности хранения персональных данных от посторонних), обязательно укажите ответственность за разглашение (для сотрудников).

Пример и ещё один.

29. Соглашение о неразглашении персональных данных.

Это соглашение подписывает каждый, кто имеет доступ к персональным данным. Перечислите все сведения, не подлежащие разглашению, объясните, почему и зачем это делается («я понимаю, что мне приходится заниматься сбором, хранением, обработкой персональных данных, обязуюсь соблюдать все требования, описанные в «Положении о защите персональных данных»»). Пример.

30. План мероприятий по обеспечению безопасности персональных данных.

В этом документе укажите мероприятия, сроки и исполнителя: установку антивирусной программы, установку паролей, внедрение доработок и обновлений и пр. Пример.

31. Модель угроз безопасности в информационной системе персональных данных.

Угрозы безопасности – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 закона «О персональных данных» персональные данные должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Подробнее.

Смысл этого документа – определить возможные угрозы безопасности системы персональных данных и описать, какие способы защиты будут использоваться при их возникновении. Пример.

32. Форма ответа на запрос субъекта персональных данных.Пример.

Не забывайте заполнять и обновлять эти документы!

Если после прочтения материала у вас остались вопросы (вы не совсем поняли, что является персональными данными, сомневаетесь, надо ли регистрироваться в реестре Роскомнадзора, не знаете, как оформить соглашение об обработке данных, и прочее, и прочее), пишите на legal4advice@gmail.com.

Персональные данные: закон суров…

Add a Comment

Ваш e-mail не будет опубликован. Обязательные поля помечены *