Законна ли передача персональных данных третьим лицам руководителем?

Персональные данные: что грозит за нарушение закона

Законна ли передача персональных данных третьим лицам руководителем?

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Законна ли передача персональных данных третьим лицам руководителем?

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Положение «О порядке обработки персональных данных»

Законна ли передача персональных данных третьим лицам руководителем?

1.1. Настоящее Положение «О порядке обработки персональных данных» (далее — «Положение») издано и применяется АО «Алатарцев. Недвижимость»», как оператором обработки персональных данных (далее — Агентство недвижимости Алатарцева), в соответствии с пп.

2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».), и является основополагающим внутренним регулятивным документом Общества, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.

1.2. Действие настоящего Положения распространяется на персональные данные российских граждан, персональные данные которых обрабатываются Обществом (далее — «Субъекты персональных данных»).

Согласно положениям части 1 статьи 18 ФЗ «О персональных данных», посвященным обязанностям оператора при сборе персональных данных, а также в соответствии с разъяснениями Минкомсвязи России от 12 августа 2015 года о применении положений ФЗ № 242 от 21 июля 2014 года под сбором персональных данных понимается целенаправленный процесс получения персональных данных Оператором непосредственно от Субъекта персональных данных либо через специально привлеченных для этого третьих лиц. В связи с чем, локализации подлежат только те персональные данные, которые были получены Оператором в результате осуществляемой им целенаправленной деятельности по организации сбора таких данных, а не в результате случайного (незапрошенного) попадания к нему персональных данных.

Случайное, ненамеренное получение, хранение и иные операции с персональными данными российских граждан не влекут обязанности локализовать обработку персональных данных в Агентстве недвижимости «Алатарцева», в связи с чем, Агентство недвижимости «Алатарцева» не должно предпринимать каких-либо действий в отношении персональных данных, случайно к нему попавших. В частности локализация не требуется в случае:

    незапрашиваемого получения персональных данных, например, произвольной (случайной) входящей корреспонденции и электронных писем,получения персональных данных поступивших в Агентстве недвижимости «Алатарцева» от других юридических лиц, если такие данные представляют собой контактную информацию работников или представителей таких юридических лиц, переданную в ходе осуществления ими своей законной деятельности.

1.3.

Настоящее Положение является обязательным для исполнения всеми работниками Агентства недвижимости «Алатарцева», работающих по трудовому договору, заключенному с Агентством недвижимости «Алатарцева», которые непосредственно осуществляют обработку или имеют доступ к персональным данным Субъектов, а также лицами, осуществляющими обработку или имеющими доступ к персональным данным Субъектов на основании заключенных Агентством недвижимости «Алатарцева» договоров, или на иных законных основаниях, в порядке и на условиях, предусмотренных настоящим Положением (далее — Работники).

1.4.

Цель разработки Положения — определение порядка обработки персональных данных Субъектов персональных данных; обеспечение защиты прав и свобод Субъектов персональных данных при обработке его персональных данных; установление режима конфиденциальности персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.5. При обработке персональных данных «Алатарцев. Недвижимость» применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.6. При сборе персональных данных Агентство недвижимости «Алатарцева» обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных действующим российским законодательством.

1.7. Обработка персональных данных осуществляется в Агентстве недвижимости «Алатарцева» на основе законодательно определенных принципов (статья 5 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).

1.8. Настоящее Положение является обязательным для исполнения всеми работниками Агентства недвижимости «Алатарцева».

1.9. Настоящее Положение вступает в силу с момента его утверждения Директором Агентства недвижимости «Алатарцева» и действует бессрочно до момента отмены действия, либо замены новым Положением. Все изменения в Положение вносятся приказом Директора.

2. Понятия, используемые в настоящем Положении

2.1. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи.

2.2. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

2.3. Информация — сведения (сообщения, данные) независимо от формы их представления.

2.4. Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Агентства недвижимости «Алатарцева» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

2.5. Конфиденциальность персональных данных — обязательное для соблюдения Работником, получившего доступ к персональным данным, требование не допускать их распространения без согласия Субъекта персональных данных или иного законного основания.

2.6. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному Субъекту.

2.7.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.8. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

2.9. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.10.

Организационные мероприятия по защите персональных данных — меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

2.11. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (Субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая информация;

2.12. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.13. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.14. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранному государству, иностранному физическому или юридическому лицу.

2.15. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

3. Состав персональных данных

3.1. В состав персональных данных Субъектов входят следующие персональные данные:

3.1.1. Фамилия, имя, отчество;

3.1.2. Дата рождения;

3.1.3. Месторождения;

3.1.4. Паспортные данные:

    вид документа;серия и номер документа;орган, выдавший документ (наименование, код подразделения);

3.1.5. Адрес регистрации места жительства;

3.1.6. Адрес фактического места жительства;

3.1.7. Персональный идентификационный номер;

3.1.8. Пол;

3.1.9. Номер контактного телефона;

3.1.10. Адрес электронной почты;

Источник: https://xn--80aaaio7a0bo2b.xn--p1ai/info/privacy/

Политика компании в отношении обработки персональных данных

Законна ли передача персональных данных третьим лицам руководителем?

В процессе осуществления уставной деятельности Общество с ограниченной ответственностью “Датревел” (далее – Общество) обрабатывает персональные данные. Осуществляя обработку персональных данных (далее также – ПДн).

Общество считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных.

Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.

Настоящая Политика по защите персональных данных в ООО “Датревел” (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.

В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Обществом в целях обеспечения безопасности персональных данных при их обработке.

Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.

Настоящая Политика утверждается Генеральным директором Общества, который осуществляет контроль соблюдения Политики в Обществе.

Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается Генеральным директором Общества.

Общество на основании требований настоящей Политики разрабатывает все внутренние локальные акты и иные документы Общества, связанные с обработкой ПДн.

Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступных неопределенному кругу лиц сайтах: bsigroup.ru, bsistudy.ru.

Основные понятия

Политика – утвержденный Генеральным директором Общества внутренний локальный нормативный акт – «Политика по защите персональных данных в Обществе с ограниченной ответственностью “Датревел”.

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных.

Обработка персональных данных – любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств.

Субъект персональных данных – идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.

Работник – физическое лицо (субъект персональных данных), заключившее с Обществом трудовой договор.

Соискатель – физическое лицо (субъект персональных данных), представившее в Общество свои персональные данные с предложением заключения трудового договора.

Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку ПДн Клиентов.

Клиент – физическое лицо – заказчик туристского продукта (субъект персональных данных), заключивший с Обществом или Партнером договор на реализацию туристского продукта, сформированного Обществом; либо физическое лицо – турист (субъект персональных данных), от имени которого заказчик туристского продукта заключил с Обществом или Партнером договор на реализацию туристского продукта, который формируется Обществом.

Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с Обществом договор на оказание определенного вида услуг или работ либо сотрудник Партнера.

Посетитель – физическое лицо (субъект персональных данных), не являющееся Работником и получившее на законных основаниях допуск в помещения Общества.

Уполномоченный сотрудник – Работник, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1. Правовые основания обработки ПДн

Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.

Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

  • Конституцией Российской Федерации
  • Трудовым кодексом Российской Федерации
  • Гражданским кодексом Российской Федерации
  • Налоговым кодексом Российской Федерации
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

Источник: https://www.bsistudy.ru/static/personal_data/

Подробности 18.07.2017 10:54

 Уважаемые коллеги!

В течение чуть более месяца на сайте Консультант-СКИФ можно было задать свой вопрос в Роскомнадзор по СКФО на тему: «Персональные данные». Подводя итоги интернет-интервью, мы задаем вопросы руководителю Управления Роскомнадзора по Северо-Кавказскому федеральному округу Поляничеву Дмитрию Вячеславовичу.

Консультант-СКИФ: С июля этого года увеличилась ответственность за несоблюдение законодательства  персональных данных, произошли изменения в части надзора. Расскажите, пожалуйста, какие новшества являются более значимыми, и в чем их суть?

Дмитрий Вячеславович: Действительно, с 1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях.

Поправки наделяют Роскомнадзор полномочиями по составлению протоколов об административных правонарушениях в рамках осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Ранее протоколы составляли органы прокуратуры.

Кроме того, законом вводятся новые составы административных правонарушений в области персональных данных. Так, если раньше ст. 13.11.

КоАП РФ была предусмотрена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, то с 1 июля 2017 года Законом № 13-ФЗ вводится семь составов административных правонарушений, которые предусматривают административную ответственность за невыполнение оператором требований и обязанностей, связанных с обработкой персональных данных.

Следует отметить, что значительно увеличены и суммы штрафов за совершение административного правонарушения в области персональных данных.

Консультант-СКИФ: Что такое – персональные данные? Какие они бывают? Делятся ли они по целям сбора, методам хранения, другим признакам?

Дмитрий Вячеславович: В соответствии п. 1 ст.

3 Федерального закона «О персональных данных» персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Персональные данные подразделяются на специальные (касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни); биометрические (характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность); общедоступные (сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках, адресных книгах и других информационных источниках); иные персональные данные (все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования. Эти требования регламентированы ст.ст. 10,11 Федерального закона «О персональных данных».

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством  РФ.

 Консультант-СКИФ: Как понять – является ли организация оператором персональных данных? И если это так, то каким образом необходимо уведомить Роскомнадзор, и что в этом уведомлении надо указывать?

Дмитрий Вячеславович: В соответствии п. 2 ст. 3 Федерального закона «О персональных данных» оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В соответствии ч. 1 ст. 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Управления Роскомнадзора по Северо-Кавказскому федеральному округу www.26.rsoc.ru в информационно-телекоммуникационной сети «Интернет».

Кроме того, на портале Персональные данные www.pd.rsoc.ru реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.

Лица, направившие уведомления, включаются в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. При этом стоит отметить, что государственные органы, муниципальные органы, юридические и физические лица являются операторами независимо от факта включения в указанный реестр.

Консультант-СКИФ: Посоветуйте, как провести внутренний аудит соблюдения законодательства о персональных данных в рамках отдельно взятой организации, имеющей свой сайт, работников в штате и ведущей активный набор персонала? С чего начать, на что обратить особое внимание, что исправить в первую очередь?

Дмитрий Вячеславович: В первую очередь, организациям целесообразно составить график мероприятий по организации обработки и защиты персональных данных и назначить ответственного за организацию обработки персональных данных.

Следующий шаг – обследование информационной системы организации. Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:

• постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Источник: http://ric077.ru/o-kompanii/developments/internet-intervyu/3293-anons-internet-intervyu-personalnye-dannye-s-rukovoditelem-upravleniya-roskomnadzora-po-skfo-polyanichevym-d-v.html

Вопросы по закону
Добавить комментарий