Правила обработки персональных данных образец | Загранник

Правила обработки персональных данных образец

10.09.2019 / zagpass / 0 Comments
Roman Samborskyi / Shutterstock.com

Несмотря на то, что согласие субъекта необходимо для обработки его персональных данных, есть несколько случаев, при которых допускается их обработка и без такого согласия:

  • если это необходимо для достижения целей, предусмотренных международным договором или законом – например, обработка работодателем персональных данных своих сотрудников (ст. 86 Трудового кодекса);
  • в связи с исполнением судебного акта или участием лица в судопроизводстве;
  • для исполнения полномочий госорганов и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, включая регистрацию на едином портале госуслуг и (или) региональных порталах государственных и муниципальных услуг;
  • для заключения и (или) исполнения договора;
  • для защиты жизни, здоровья или иных жизненно важных интересов лица, если получить его согласие невозможно;
  • если это необходимо для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей, если при этом не нарушаются права и свободы субъекта;
  • при осуществлении журналисткой, научной, литературной и иной творческой деятельности, если это не нарушает права и законные интересы лица;
  • в статистических или иных исследовательских целях при условии обязательного обезличивания данных;
  • если персональные данные сделаны субъектом общедоступными;
  • при опубликовании или обязательном раскрытии информации в соответствии с законом – например, при совершении нотариальных действий (ч. 1 ст. 6 закона о персональных данных).

СОДЕРЖАНИЕ

Оператор может обрабатывать персональные данные как самостоятельно, так и поручить это с согласия субъекта третьему лицу (ч. 3 ст. 6 закона о персональных данных). В договоре при этом следует определить перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, требования к защите обрабатываемых персональных данных. Кроме того, необходимо отдельно прописать обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке.

Получать согласие субъекта на обработку его персональных данных лицу, осуществляющему обработку персональных данных по поручению оператора, в этом случае не нужно (ч. 4 ст. 6 закона о персональных данных). Но даже если обработка поручена другому лицу, ответственность перед субъектом лежит все равно на операторе (ч. 5 ст. 6 закона о персональных данных).

БЛАНК

Договор поручения на обработку персональных данных третьим лицом
Другие бланки

Что касается передачи персональных данных за рубеж, закон ограничивает трансграничную передачу персональных данных, допуская ее осуществления лишь на территории стран-участников Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и определенных Роскомнадзором иностранных государств, хоть и не являющихся участниками этой Конвенции, но обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 закона о персональных данных). Однако даже в отношении этих стран трансграничная передача данных может быть запрещена или ограничена, если это требуется в целях защиты основ конституционного строя России, нравственности, здоровья, прав и законных интересов граждан, а также обеспечения безопасности страны.

Вместе с тем есть ряд случаев, при которых трансграничная передача персональных данных возможна и на территории тех государств, которые не обеспечивают адекватную защиту прав субъектов персональных данных. Это допускается:

  • при наличии письменного согласия субъекта персональных данных;
  • если это предусмотрено международными договорами;
  • если это предусмотрено федеральными законами и необходимо в целях защиты основ конституционного строя, обеспечения безопасности государства и т. д.;
  • при исполнении договора, стороной которого является субъект персональных данных;
  • для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц, если получить письменное согласие на это невозможно.

Различного рода информация, которая относится к определенному физическому лицу, является его персональными данными. Соответственно, такое физическое лицо именуется субъектом персональных данных (п. 1 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ ). К субъектам персональных данных относятся в том числе и работники.

Работодатель, в свою очередь, занимается обработкой персональных данных своих работников, т. е. производит сбор данных, их систематизацию, хранение, обновление, передачу, удаление и т.д. Это, к примеру, паспортные данные работников, сведения об адресе их проживания, информация об образовании или стаже работников, о заработной плате или семейном положении, о деловых качествах и даже увлечениях работников и т.д.

Обрабатывая персональные данные своих работников, работодатель должен гарантировать, что при этом не нарушаются их права и свободы. В частности, право на неприкосновенность частной жизни, личную и семейную тайну. Иными словами, работодатель должен обеспечивать надежную защиту персональных данных.

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Работодатель должен внимательно подходить к разработке такого Положения, а в дальнейшем четко следовать указанному в нем порядку, ведь нарушение им законодательства о персональных данных чревато штрафами.

Так, например, обработка персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, может повлечь наложение штрафа на должностных лиц работодателя в размере от 5 000 до 10 000 рублей, а на работодателя-организацию – от 30 000 до 50 000 рублей (ч. 1 ст. 13.11 КоАП РФ ).

Хотя необходимо иметь в виду, что Положение о персональных данных обязательно и для работников. Работник может быть даже уволен за разглашение персональных данных другого работника, ставших известными ему при исполнении своих трудовых обязанностей (пп. «в» п. 6 ст. 81 ТК РФ).

Читать дальше  Поменять газовый кран на кухне своими руками

Разрабатываем Положение о порядке обработки персональных данных работников

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно. При этом руководствуется он, в частности, требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и гл. 14 «Защита персональных данных работника» ТК РФ.

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы обработки и защиты персональных данных:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Положение о защите персональных данных утверждается руководителем работодателя в качестве локального нормативного акта. С ним необходимо знакомить всех работников под роспись при их трудоустройстве (ч. 3 ст. 68 ТК РФ).

Приведем для Положения о персональных данных работников 2018 образец его заполнения.

ПРАВИЛА
обработки персональных данных
в [ наименование организации, учреждения ], устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства российской федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

1. Общие положения

1.1. Настоящие Правила обработки персональных данных
субъектов персональных данных в [Наименование организации, учреждения] устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных обстоятельств. Настоящие Правила разработаны в целях:

– обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в [Наименование организации, учреждения] ;

– установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;

– определения целей обработки [Наименование организации, учреждения] персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроков обработки и хранения обрабатываемых персональных данных, а также порядка уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.4. Из числа работников [Наименование организации, учреждения] определяются лица, уполномоченные на обработку персональных данных в [Наименование организации, учреждения] и несущие ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

Понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

Правила обработки персональных данных

3.1. Обработка персональных данных в [Наименование организации, учреждения] осуществляется:

– в информационных системах персональных данных [Наименование организации, учреждения] ;

– в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является [Наименование организации, учреждения] .

3.2. Содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, сроки их обработки и хранения неавтоматизированным методом и в информационных системах персональных данных [Наименование организации, учреждения] представлены в приложении к настоящим Правилам ( к Правилам обработки персональных данных [Наименование организации, учреждения] (типовая форма) ).

3.3. Содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов персональных данных, правовые основания обработки персональных данных, сроки их обработки и хранения в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является [Наименование организации, учреждения] , приводятся в Паспортах информационных систем и ресурсов города Москвы (согласно распоряжению Правительства Москвы от 1 июля 2016 г. №64-16-267/16 «Об утверждении Порядка ведения Паспортов информационных систем и ресурсов города Москвы»).

3.4. Перечень обрабатываемых персональных данных в информационных системах персональных данных [Наименование организации, учреждения] закреплен в документе «Перечень персональных данных, обрабатываемых в информационных системах персональных данных [Наименование организации, учреждения]» , утверждаемом [Наименование организации, учреждения] в установленном порядке.

3.5. Перечень информационных систем персональных данных [Наименование организации, учреждения] , в которых осуществляется обработка персональных данных в соответствии с настоящими правилами, закреплен в документе «Перечень информационных систем персональных данных [Наименование организации, учреждения]», утверждаемом [Наименование организации, учреждения] установленным порядком.

Читать дальше  Претензия о понуждении к заключению договора

3.6. Обработка персональных данных может осуществляться [Наименование организации, учреждения] в случаях, установленных законодательством Российской Федерации в области обработки и защиты персональных данных, в том числе в случаях, когда:

– обработка персональных данных осуществляется с согласия субъекта на обработку его персональных данных в случаях, установленных законодательством Российской Федерации;

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на [Наименование организации, учреждения] функций, полномочий и обязанностей;

– обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти города Москвы и иных субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных в государственной информационной системе «Портал государственных и муниципальных услуг (функций) города Москвы»;

– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта или договора, по которому субъект данных будет являться выгодоприобретателем или поручителем;

– обработка персональных данных необходима для осуществления прав и законных интересов [Наименование организации, учреждения] или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

– осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации и города Москвы.

3.7. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъектов [Наименование организации, учреждения] обязано соблюдать следующие общие требования:

– при определении объема и содержания обрабатываемых персональных данных субъекта персональных данных [Наименование организации, учреждения] должен руководствоваться законодательством Российской Федерации и нормативными правовыми актами города Москвы;

– все персональные данные субъекта персональных данных следует получать непосредственно у субъекта персональных данных, за исключением случаев, когда право [Наименование организации, учреждения] на получение персональных данных иным способом установлено законодательством Российской Федерации в области обработки и защиты персональных данных, правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора персональных данных;

– в случае передачи персональных данных субъекта персональных данных третьей стороне, обязательным требованием является наличие письменного согласия субъекта, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами города Москвы.

[Наименование организации, учреждения] не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации, нормативными правовыми актами города Москвы.

– персональные данные не могут быть использованы в целях причинения имущественного и морального вреда субъекту персональных данных, ограничения реализации его прав и свобод.

– иные требования, установленные законодательством Российской Федерации в области обработки и защиты персональных данных и нормативными правовыми актами города Москвы.

3.8. Защита персональных данных обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня безопасности персональных данных, установленного законодательством Российской Федерации и внутренними документами [Наименование организации, учреждения] , в том числе ограничением доступа к персональным данным в помещения, в которых осуществляется обработка персональных данных.

3.9. Перечень должностей служащих, замещение которых предусматривает доступ к персональным данным, обрабатываемым в информационных системах персональных данных [Наименование организации, учреждения] и в информационных системах, участником информационного взаимодействия (оператором информационной системы) в которых является [Наименование организации, учреждения] , закреплен в документе «Перечень должностей служащих (работников) замещение которых предусматривает доступ к персональным данным, обрабатываемым в информационных системах персональных данных», утверждаемом [Наименование организации, учреждения] установленным порядком.

3.10. Защите подлежит любая информации о персональных данных субъекта, в том числе:

– документы, содержащие персональные данные субъекта на бумажных носителях;

– персональные данные, содержащиеся на электронных носителях и (или) в информационных системах.

3.11. При обработке персональных данных неавтоматизированным методом и в информационных системах персональных данных [Наименование организации, учреждения] осуществляется обработка персональных данных путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения персональных данных.

3.12. Сведения о субъектах при неавтоматизированной обработке их персональных данных хранятся на бумажных носителях в защищаемых помещениях [Наименование организации, учреждения] . Для хранения съемных материальных носителей используются сейфы (металлические шкафы), оборудованные внутренними замками и приспособлениями для опечатывания замочных скважин или кодовыми замками.

3.13. Сроки обработки и хранения персональных данных определяются законодательством Российской Федерации, нормативными правовыми актами города Москвы.

3.14. Доступ к персональным данным субъектов персональных данных в [Наименование организации, учреждения] ограничивается в установленном порядке.

3.15. Обрабатываемые в информационных системах персональные данные подлежат защите от актуальных угроз безопасности. Безопасность персональных данных при их обработке обеспечивается с помощью системы защиты персональных данных, включающей организационные и технические меры защиты информации. Средства защиты информации должны быть сертифицированы на соответствие требованиям по безопасности информации в системе сертификации ФСТЭК России и (или) ФСБ России.

Читать дальше  Первоочередные наследники после смерти матери

3.16. При обработке персональных данных должно быть обеспечено:

– проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачу их лицам, не имеющим права доступа к такой информации;

– своевременное обнаружение фактов несанкционированного доступа к персональным данным;

– недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

– незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

– осуществление постоянного контроля обеспечения уровня защищенности персональных данных.

3.17. Работников [Наименование организации, учреждения] , осуществляющих обработку персональных данных, в обязательном порядке:

– проинформировать об обработке ими персональных данных;

– ознакомить под роспись с внутренними нормативными и распорядительными документами в области обработки и обеспечения безопасности персональных данных;

– проинструктировать по правилам обработки и обеспечения безопасности персональных данных;

– проинформировать об ответственности за соблюдение законодательства в области обработки и обеспечения безопасности персональных данных.

3.18. Методическое руководство и реализация мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» возлагается на работника, ответственного за организацию обработки персональных данных в [Наименование организации, учреждения].

4. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

4.1. Персональные данные, обрабатываемые в [Наименование организации, учреждения] , подлежат уничтожению в следующих случаях:

– при достижении целей обработки персональных данных (в том числе по истечении установленных сроков хранения);

– в случае отзыва субъектом согласия на обработку своих персональных данных, когда это согласие является обязательным условием обработки персональных данных;

– при невозможности устранения нарушений, допущенных при обработке персональных данных;

– в случае получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн (Роскомнадзора).

4.2. При невозможности уничтожения персональных данных в течение 30 (тридцати) дней [Наименование организации, учреждения] осуществляет уничтожение персональных данных в течение шести месяцев. Обоснование невозможности уничтожения персональных данных в установленные законом сроки должно быть документально оформлено.

4.3. При достижении целей обработки персональных данных [Наименование организации, учреждения] уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки.

Актуальные цели обработки персональных данных и сроки хранения персональных данных определены в приложении к настоящим Правилам ( к Правилам обработки персональных данных [Наименование организации, учреждения] (типовая форма) ).

4.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных [Наименование организации, учреждения] уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.

Процедура отзыва субъектом персональных данных согласия на обработку его персональных данных определена в документе «Правила рассмотрения [Наименование организации, учреждения] запросов субъектов персональных данных или их представителей».

4.5. В случае невозможности устранения нарушений, допущенных при обработке персональных данных [Наименование организации, учреждения] уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных. Порядок выявления неправомерной обработки персональных данных установлен в документе «Правила рассмотрения [Наименование организации, учреждения] запросов субъектов персональных данных или их представителей».

4.6. В случае получение предписания о прекращении обработки (уничтожении) персональных данных от Роскомнадзора [Наименование организации, учреждения] уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты получения предписания.

4.7. Уничтожение персональных данных осуществляется Комиссией по обеспечению безопасности персональных данных.

4.8. Персональные данные в [Наименование организации, учреждения] могут содержаться в следующих хранилищах:

– на съемных машинных носителях;

– в базах данных информационных систем персональных данных;

– на бумажных носителях.

4.9. Уничтожение персональных данных, хранящихся на съемных машинных носителях персональных данных, проводится путем стирания с носителя соответствующих файлов.

4.10. Уничтожение персональных данных, хранящихся в базах данных информационных систем, производится путем стирания соответствующих полей в базе данных. При этом следует провести стирание не только в рабочем экземпляре базы, но и в резервных (тестовых) копиях базы.

4.11. Уничтожение бумажных носителей персональных данных производится способом, исключающим возможность восстановления этих персональных данных (шредирования либо сжигания).

4.12. По результатам уничтожения составляется Акт уничтожения персональных данных в [Наименование организации, учреждения] .


к Правилам обработки персональных данных [Наименование организации, учреждения ] (типовая форма)

ПЕРЕЧЕНЬ
процессов и персональных данных, обрабатываемых в информационных системах персональных данных [Наименование организации, учреждения]

Таблица 1.1 — Перечень процессов и персональных данных, обрабатываемых в информационных системах персональных данных [Наименование организации, учреждения]

Категория субъектов персональных данных

Состав персональных данных

Правовые основания обработки

Сроки обработки и хранения

Цели обработки персональных данных:

Способ обработки (неавтоматизированный/автоматизированный/смешанный/поручение на обработку):

[Наименование категорий субъектов персональных данных]

[Наименование состава персональных данных]

[Наименование правовых оснований обработки персональных данных]

[Значения сроков обработки и хранения персональных данных]

No related posts.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

«
»
Adblock detector