Как ужесточились требования к работе с персональными данными в 2021 году


П Пользователь Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются? И нужно ли будет сдавать какие-либо отчеты?

0 Ответить Яна Аржанова, главный редактор Здравствуйте! Про виды проверок можно почитать здесь: Отчеты не требуются. 0 Ответить SV Stas Volchkov Подскажите, пожалуйста, на каком основании «галочка» под веб-формой согласия на обработку персональных данных является электронной подписью?

В соответствии с ФЗ-152

«Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.»

Спасибо. 0 Ответить ЯА Яна Аржанова Добрый день! По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме.

Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» . 1 Ответить Д Данил , почему же у вас на сайте, на странице «Запросить цену» галочки нет? 2 Ответить ЭГ Эльдар Гайнутдинов В ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова.

1 Ответить ДС Дмитрий Сухоруков Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены? 0 Ответить Яна Аржанова, главный редактор В ст. 22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: Ответственность предусмотрена ст. 19.7 КоАП РФ «Непредставление сведений (информации)»: Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <.> влечет: предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3000 до 5000 рублей.

0 Ответить П Павел Согласно требованиям ч.5 ст. 2.1 54-ФЗ в случае расчетов в безналичном порядке в сети «Интернет» и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты.

Может ли исполнитель согласно п.2 и п.6 ч.1 ст.

6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований? 0 Ответить Яна Аржанова, главный редактор , добрый день.

Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты. Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.

0 Ответить П Павел , добрый день! У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных.

В этом собственно и вопрос: как запрашивать у него эти данные?

80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции). Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.

0 Ответить Яна Аржанова, главный редактор , добрый день! Вы можете описать подробнее схему взаимодействия с клиентами? Как они заказывают у вас товар? Как вы передаете им квитанции с QR-кодом? 0 Ответить П Павел , спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц.

Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц. Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению. Квитанции передаём через почтовые ящики.

Далее, как я уже описывал, клиенты оплачивают удобным им способом. 0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву. Давайте по порядку, чтобы было понятно.

Обработка ПД возможна с согласия субъекта ПД.

Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого.

Об этом говорится в . Какой следует из этого вывод: Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования . В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие.

В есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента. Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес.

Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров. Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах. 0 Ответить П Павел , огромное спасибо!

0 Ответить Л Леонид У нас турагентсво.

При заключении договора, берем отдельное согласие на обработку ПД (в т.ч. трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются.

Как быть в этом случае? 0 Ответить Яна Аржанова, главный редактор , если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов. И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.

Я вам советую ознакомиться с , которую составил Роскомнадзор.

0 Ответить Н Николай Добрый день, я работаю в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии.

Отказ от подписания грозил мне не выплату заработной платы. Прочитав ФЗ № 152 от 27.07.2006 г.

не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник? 0 Ответить Яна Аржанова, главный редактор , добрый день.

Согласно ст. 5 Закона № 152-ФЗ «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».

В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты. В противном случае вам просто не смогут выплатить деньги. 0 Ответить НЧ Наталья Чебаница Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД?

0 Ответить Яна Аржанова, главный редактор , добрый день. Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар.

Обычно в форме для внесения данных есть пункт «Политика обработки персональных данных», напротив которого клиенту предлагается поставить галочку. 0 Ответить П Павел , а если речь не об интернет-магазине? 0 Ответить Яна Аржанова, главный редактор , если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п.

2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать. При этом отправка по номеру телефона — обязанность. А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию.

Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек. Но можно рассуждать логически.

Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу. В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД — это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ. И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю. Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете.
Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете.

0 Ответить ЕГ Елена Гейко Добрый день. Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки. Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган.

1 Ответить Яна Аржанова, главный редактор , все законодательство написано таким языком.

Надо разбираться, чтобы избежать штрафов.

Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона.

0 Ответить П Пользователь Добрый день!

если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним?

2 Ответить Яна Аржанова, главный редактор , нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу — партнеру, чтобы тот рассылал свои сообщения). Плюс еще изменения связаны с увеличением штрафов.

Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья .

0 Ответить П Пользователь , спасибо за ответ) 0 Ответить Ю Юлия Доброе утро. Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно — согласия на распространение.

Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли. 0 Ответить Яна Аржанова, главный редактор , я думаю, что на свои вопросы вы найдете ответы в отдельной статье .

0 Ответить Ю Юлия Про уведомление сама прочитала в законе). А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками 0 Ответить Яна Аржанова, главный редактор , нет не нужно.

содержит ряд исключений, когда уведомление не требуется. Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление). Обработка ПД в рамках трудового законодательства как раз относится к исключениям.

Рекомендуем прочесть:  Как простить предательство

0 Ответить Е Елена Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)? 0 Ответить Яна Аржанова, главный редактор , ст.

5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Следовательно, возникает вопрос: для чего магазину ваши паспортные данные?

Какую цель он преследует, запрашивая их? То же самое с адресом. Зачем он магазину? Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.
Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.

0 Ответить ЕП Екатерина Пелевина Здравствуйте! Наша компания занимается электромонтажными работами.

Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам. Согласие на обработку ПД берутся при поступлении на работу. Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор?

0 Ответить Яна Аржанова, главный редактор , добрый день! На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:»Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений. Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками».

1 Ответить О Ольга Здравствуйте! В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя.

Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД? Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия. Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД?

Спасибо! 0 Ответить ЕК Елена Котова Здравствуйте.

При приеме на работу берем с сотрудников согласие на обработку перс. данных и там есть пункт для чего собираются эти данные:

«- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;»

.

В таком случае Роскомнадзор так же не надо уведомлять? 1 Ответить ВМ Валерий Михайлов Добрый день ! Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО !

как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности. Получается. Оператор незаконно распространяет ПДн ?

Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ?

И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?Спасибо.

0 Ответить ЮГ Юрий Голубев «Согласно п.

2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях.» Открыл Закон, там написано: «Обработка персональных данных допускается в следующих случаях:». То есть эта статья про случаи, когда можно обрабатывать ПДн! О том, что не требуется согласие, там не сказано.

Наоборот, п.1. именно на согласие и указывает.

0 Ответить V Veronikabel А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте? 0 Ответить В Валерй в банке при получении дебетовой карты и подписании договора в п.п. указано «согласен на обработку и передачу ПД третьим лицам» и «не согласен на обработку и передачу ПД третьим лицам» я выбрал пункт » не согласен .далее по тексту» банк отказал мне в выдачи карты и заключении договора.

Банк прав ? Мои права нарушены ?

0 Ответить ЕК Елена Карандашова Здравствуйте. Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре?

или вообще не нужно ничего, т.к.

трудовые отношения? Спасибо. 0 Ответить А Андрей Добрый день. Мне управляющая компания послала письмо.

Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные. Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн.

Доставка ,частная компания не Почта России. 0 Ответить АШ Александр Швецов Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру.

При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД? 0 Ответить Т Татьяна Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу? 2 Ответить А Алёна Здравствуйте!

Оказываю услуги дизайнера. На сайте собираю исключительно ФИО, телефон и адрес электронной почты. Статьей 9 Федерального закона № 152-ФЗ установлены требования к содержанию согласия на обработку персональных данных, среди которых адрес и номер документа, удостоверяющего личность. Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений?

Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений?

Получается, что теперь проставления галочки форме недостаточно, нужно, чтобы субъект ПД заполнял форму с необходимыми полями?

Заранее спасибо. 0 Ответить

Персональные данные сотрудника: как с ними работать

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

20 августа 2020 Неоднозначное понимание того, что именно скрывается под персональными данными, в итоге приводит к конфликту между сторонами, когда работодатель и работник злоупотребляют своими правами. Чтобы избежать таких ситуаций, надо понимать, как правильно обрабатывать персональные данные на каждом этапе взаимодействия.

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ () и (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что

«сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»

. Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. Вопросам защиты персональных данных работника посвящена .

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы. Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными?

Должен ли он давать согласие в этом случае, даже если его не возьмут на работу?

Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании?

Что делать с данными уволенных сотрудников?

На все эти вопросы важно знать ответы.

Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор. Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д. В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы. Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  1. если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  2. при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться . Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты.

Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям . Это значит, что:

  1. в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
  2. в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  3. в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  4. анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней. Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе.

Тогда хранить персональные данные соискателя придется в течение 3-х лет. На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей. Для этого ему обязательно нужно заручиться согласием соискателя.

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу.

На этом этапе, согласно , запрашиваются:

  1. при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.
  2. документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  3. трудовая книжка;
  4. паспорт или иной документ, удостоверяющий личность;

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется.

Когда он подписывает трудовой договор, то тем самым уже дает свое согласие. Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие?

Да, нужно. При этом важно, чтобы:

  1. была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.
  2. перечень персональных данных строго соответствовал тому, что передается в банк;
  1. договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  2. соответствующая форма и система оплаты труда прописана в коллективном договоре ().
  3. у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
Рекомендуем прочесть:  Какое фото на замену прав

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство».

Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. В этом случае нужно обязательно внести изменения в трудовой договор.

Главное — сделать это правильно. Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей. Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных.

Об этом, в частности, предупреждает Минтруд в . В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  • Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  • Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно .
  • Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости. Обычно на доске почета размещается фотография человека, указывается его ФИО.

И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  1. компания самостоятельно осуществляет пропускной режим;
  2. если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со .

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно. Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные .

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета. Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога ().

И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется. Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет.

Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется. Подписаться × Е Евгения Спасибо, все коротко и понятно.

1 Ответить Т Татьяна Отлично! 0 Ответить Загрузить ещё

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла.

Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных.

В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия. С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием. В ч.1 и ч. 2 статьи 13 № 323-ФЗ указано, что личные сведения гражданина не могут быть разглашены без его согласия.

Особенно строгие меры защиты приняты в отношении врачебной тайны, которую запрещается раскрывать даже в случае смерти субъекта. Статья 137 УК РФ настоящего закона вводит уголовную ответственность за несанкционированный сбор и разглашение информации о личной жизни субъекта персональных данных. Распространение сведений возможно только при письменном согласии лица.

Также является незаконным разглашение информации в публичных выступлениях, в публикуемых художественных произведениях и СМИ.

Закон запрещает распространение персональных данных в рамках служебного положения.

Федеральный закон № 323 четко провозглашает, что за разглашение персональных данных любое лицо может быть привлечено к уголовной ответственности.

Специалисты в области IT-безопасности обращают пристальное внимание на предоставление социальным сетям, мобильным приложениям и различным сервисам возможности сбора данных.

При сохранении возможности настройки приватного доступа к отдельной информации в социальных сетях проблема защиты персональных данных фактически остается нерешенной. Кража общедоступных сведений считается распространенным явлением. Кроме того, любые данные, размещенные в соцсетях, постоянно обрабатываются веб-сервисами.

Любое физическое лицо вправе сделать запрос через оператора персональных данных на запрет обработки информации.

Ценные данные предоставляются через IP или веб-службы. Данные сведения позволяют компаниям, связанным с рекламной деятельностью, структурировать информацию и передавать ее третьим лицам.

Получить доступ к данным такие компании могут с помощью специализированного программного обеспечения. Персонализация веб-страниц преследует цель подробного изучения интересов пользователей и потенциальных клиентов. С помощью программного обеспечения специалисты могут отслеживать активность каждого пользователя, находящегося на веб-ресурсе, что помогает определить область его интересов.

Отслеживание активности пользователя позволяет повышать конверсию продаж. Закон № 152 указывает, что к ПД можно отнести любые данные, с помощью которых определяется физическое или юридическое лицо.

Зачастую предоставление ПД необходимо для оформления документов, в том числе гражданского паспорта, ИНН и т.д. Закон позволяет вести обработку персональных данных физическим, юридическим лицам, муниципальным органам и государственным учреждениям.

К перечню основных персональных данных относятся:

  1. дата рождения;
  2. любые данные о семейном, финансовом положении;
  3. ФИО субъекта;
  4. место постоянного (временного) проживания;
  5. любые данные, связанные с родом деятельности, заработком, образованием.

Все персональные данные принято делить на четыре группы: 1.

К первой относятся сведения общего характера, – национальность, приверженность к религии, наличие инвалидности и т.п.

Такую информацию часто вносят при заполнении анкет для приема на работу, она также может содержаться в медицинских справках.

2. Ко второй относятся данные, позволяющие выполнить идентификацию лица.

К ним причисляют ФИО, адрес, занимаемую должность, место работы и т.д. 3. Третья группа ПД включает биометрику: снимок сетчатки глаза, отпечатки пальцев, данные анализа ДНК.

4. В четвертую входят общедоступные персональные данные. Это сведения, которые не позволяют идентифицировать лицо. Согласно закону, их нельзя причислять к конфиденциальным данным.

Например, уровень дохода представителей муниципалитетов, государственных учреждений. Персональными данными физических лиц по закону считаются:

  1. ФИО;
  2. сведения о пенсионных доходах;
  3. данные о родственниках и супругах;
  4. данные о регистрации и фактическом месте жительства;
  5. данные о дееспособности, свидетельство о смерти;
  6. сведения о наличии образования;
  7. данные о наличии заболеваний, связанных с профессиональной деятельностью, страховки, выплатах по страховым случаям;
  8. информация о воинской обязанности.
  9. ИНН и дата рождения;
  10. гражданство согласно гражданскому паспорту и место рождения;
  11. данные о налоговых платежах;

Персональными данными юридических лиц по закону считаются:

  1. номер расчетного счета.
  2. ИНН и КПП;
  3. местоположение юрлица;
  4. наименование юрлица;
  5. ОГРН;
  6. юрадрес и организационно-правовая форма;

К данному перечню также можно причислить сведения о руководителе.

Развитие Интернета привело к доступности данных. Веб-поиск позволяет каждому желающему найти интересующую информацию о конкретном лице. Однако согласно закону № 152-ФЗ любой оператор, ведущий обработку ПД, не имеет права разглашать данные без согласия субъекта.

Оператором признается лицо или государственный (муниципальный) орган, который производит обработку персональных данных. По согласию ОПД может передавать информацию сторонним лицам для проведения обработки (ч. 3 ст. 6). Оператор отвечает перед субъектом за действия, совершаемые с персональными данными сторонними лицами.

В свою очередь, они не несут ответственности перед субъектом, но отвечают перед оператором. Много вопросов вызывают такие сведения, как IP-адрес, электронный ящик, номер телефона. Можно ли отнести их к персональным данным, если зачастую такие сведения остаются общедоступными?

Если обратиться к статье ФЗ-152, можно сделать следующие выводы:

  1. Адрес электронного ящика по аналогии также может быть причислен к ПД. Однако если в адресе не фигурирует ФИО субъекта, такая информация считается обезличенной.
  2. Номер телефона можно причислить к персональным данным, так как с его помощью достаточно легко идентифицировать абонента, используя дополнительные средства. В соответствии с определением ПД, номер телефона не может быть разглашен без согласия субъекта.
  3. Логины и пароли не входят в категорию персональных данных, однако могут быть причислены к коммерческой тайне.
  4. Фото и видео являются персональными данными, если с их помощью можно установить личность субъекта. При этом, согласно статье 152.1 ГК РФ, фотографии и видео могут публиковаться на массовых и публичных мероприятиях.

Для того чтобы классифицировать ИСПД, необходимо знать степень (категорию), к которой относятся данные и определить их объем. По объему ПД системы делят на три типа: 1. К первому относятся ИСПД, насчитывающие свыше 100 000 субъектов в пределах Российской Федерации.

2. Ко второму – ИСПД, в которых ведется обработка ПД более 1 000 субъектов, которые живут в конкретном муниципальном образовании. Сюда также входят субъекты, занятые в экономике или конкретном органе государственной власти.

3. К третьему – информационные системы с данными не более 1 000 СПД, занятых в конкретной компании.

Проанализировав исходные данные, можно присвоить системе соответствующий класс:

  1. Третий объединяет ИСПД, нарушения в которых способны привести к незначительным последствиям.
  2. В ИС первого класса нарушения безопасности хранения и обработки ПД опасны, поскольку могут привести к серьезным пагубным последствиям для их обладателей.
  3. К четвертому принадлежат ИСПД, в которых в случае нарушения параметров безопасности обрабатываемым данным ничего не угрожает.
  4. Второй класс присваивают системам, нарушение обработки и хранения ПД в которых способно привести к ощутимым нежелательным последствиям.

Классы принято условно обозначать буквой «К». Порядок проведения классификации ИСПД регламентирован приказом ФСТЭК.

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором. Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными. ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки.

Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок.

Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений. Для обеспечения защиты ИСПД необходимо сделать следующее:

  • Спроектировать систему защиты ПД.
  • Собрать исходные данные.
  • Пройти аттестацию.
  • Позаботиться о квалификации персонала, который будет вести обработку ПД.
  • Спрогнозировать угрозы для структуры и составить модель.
  • Присвоить класс.
  • Выполнить реализацию и интеграцию системы.
  • Выполнить все требования к инженерной защите, охране, пожарной безопасности, экологические требования и т.д.
  • Уведомить уполномоченные органы о намерении проводить обработку ПД.

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс.

Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов. Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия.

Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента. Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности.