Положение о защите персональных данных работников: как правильно составить, как утвердить, скачать образец

25 апреля 2021 «Положение о персональных данных работников 2021 образец» — весьма популярный запрос в поисковиках. Закон обязывает всех работодателей утвердить этот внутрикорпоративный акт, однако не указывает при этом требований к его форме и структуре. Понятие персональных сведений, действия по их охране, а также правила составления положения рассмотрим ниже. Фото: Образец Положения о персональных данных

Персональные данные работника и меры по их охране

Ранее определение термина «персональные данные» для трудовой сферы содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта. Сейчас данная норма исключена.

В настоящее время толкование понятия персональных данных содержится в ФЗ «О персональных данных» № 152-ФЗ: это вся информация, относящаяся к физлицу.

Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.

Примеры документов, включающих персональные данные:

  • карточка сотрудника (форма Т-2) содержит Ф.И.О. лица, сведения о семье, оконченных учебных заведениях;
  • в трудовой книжке указаны стаж, предшествующие места работы;
  • трудовой договор содержит название должности, размер вознаграждения и т.д.

Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.

В ст. 88 ТК РФ содержится общий запрет на распространение данных с указанием ряда исключений, например, если такие действия требуются во избежание угрозы жизни субъекта. Об уголовной ответственности за разглашение сведений, читайте в статье Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?

Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского облсуда № 11-1913/2016).

Хотите знать больше об ответственности за нарушения в сфере персональных данных? Система Консультант Плюс предлагает экспертную статью, дающую полную картину.

Нюансы составления положения о работе с персональными данными

В ст. 87 Трудового кодекса и ст. 18.1 закона зафиксирована обязанность работодателя по формулировке и закреплению во внутренних актах порядка обработки, хранения личных данных персонала, перечня шагов по их защите. Указанным документом чаще всего является положение об обработке персональных данных работников.

Закон не предъявляет специфических требований к составлению локального акта. На практике в него включается следующая информация:

  • общие нормы, содержащие предназначение акта, ссылки на нормативную основу его разработки;
  • состав личных сведений, список их носителей;
  • права работника по контролю за обращением с его личной информацией;
  • меры, которые требуется предпринимать организации для защиты сведений, порядок обработки, использования;
  • последовательность действий при передаче персональной информации;
  • список сотрудников, обладающих доступом;
  • санкции за неисполнение правил обращения с рассматриваемыми сведениями.

Положение о персональных данных работников подлежит утверждению приказом руководителя юрлица.

Всем работникам указанный акт предоставляется для ознакомления, для чего может быть заведен специальный журнал с перечнем работающих в компании субъектов, где каждый ставит подпись после прочтения правил.

Образец положения о работе с персональными данными можно скачать по ссылке: Положение о работе с персональными данными (образец-2020). 

***

Работодатель, выступая субъектом, получающим и обрабатывающим личную информацию персонала, обязан принять необходимые меры для ее защиты при обработке, хранении, использовании. Соответствующие меры регламентируются положением о персональных данных, предоставляемым для ознакомления всем работникам.

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня.

Персональные данные сотрудников подлежат обязательной защите со стороны нанимателя. Этот аспект регламентируется федеральным, региональным законодательством и местными нормативными актами.

Что это такое

Персональные данные имеют законную трактовку. Она закреплена в 3-й статье ФЗ №152 «О персональных данных» от 27.07.2006 г. В соответствии с данной нормой, представляют собой любые материалы, имеющие непосредственное или косвенное отношение к гражданину. Последний, в свою очередь, признается субъектом данных, если на него распространены требования ФЗ №152.

В Трудовом кодексе РФ персональные данные сотрудника уделена целая глава 14, которая регламентирует вопросы, связанные с хранением, эксплуатированием, передачей личных сведений субъекта, а также с ответственностью за нарушение действующих норм закона, который регулирует эту область.

Как хранить правильно

Хранение и эксплуатирование персональных данных – средства для их последовательной и всесторонней обработки. Мероприятия по хранению документации, включающей в себя сведения личного характера о любом работнике, осуществляются в порядке строгой конфиденциальности и в соответствии с нормами действующего законодательства.

В ФЗ №152 (п. 3 ст. 3) сказано, что под обработкой материалов принято понимать совокупность операций, совершаемых с ними. При этом могут применяться либо не применяться различные автоматизированные средства. Вот, что входит в этот процесс:

  • сбор;
  • формирование;
  • систематизация;
  • обновление;
  • извлечение;
  • применение;
  • распространение;
  • блокирование.

В процессе обработки работодателю стоит опираться на 86-ю статью ТК РФ. В ней фигурируют следующие заявления:

  • обработка допустима исключительно в целях соблюдения интересов сотрудников;
  • получение происходит строго от работника и на базе письменного согласия;
  • именно средства работодателя – источник защиты сведений;
  • работник владеет комплексом правомочий на защиту своих персональных данных;
  • принимаемые по обеспечению их безопасности меры – совместно решаемая задача (служащим и нанимателем).

Положение о персональных данных и его разработка

Обязательство компании, связанное с присутствием утвержденного Положения закреплено в ст. 87 ТК РФ. В соответствии с пунктами данного норматива, разработка и подтверждение осуществляется исключительно силами нанимателя.

Немаловажную роль играет соответствие документа требованиям ТК РФ и прочих нормативно-правовых актов в области защиты персональных данных. Закон не имеет жесткого регламента касательно структуры Положения, но практика диктует свои правила:

  1. Вводный раздел. В нем отражены основания для принятия ЛНА. Перечислены основные законодательные нормы, регламентирующие процесс эксплуатирования персональных данных.
  2. Данные о сотрудниках.
  3. Обрабатываемые фирмой документы, в которых есть персональные данные.
  4. Нюансы проведения действий по обработке.
  5. Порядок обретения доступа к личным сведениям заинтересованными лицами.
  6. Меры обеспечения безопасности.
  7. Правомочия и обязательства сторон в работе с персональными данными.
  8. Ответственность при нарушении норм закона.

Ознакомление с этим документом всех служащих производится под расписку.

Документы для скачивания (бесплатно)

Сам документ – сводка разделов, взаимосвязанных между собой. Рассмотрим основные пункты более подробно.

Доступ и защита

Выделяют внутренний и внешний доступ к персональным данным – в пределах и за пределами организации соответственно. На предприятии безоговорочным правом доступа к личным сведениям о сотруднике владеет гендиректор, руководитель структурного подразделения, сам сотрудник и иные служащие в процессе выполнения служебных обязанностей. Список этих людей определяется приказом руководителя. Внешним доступом обладают массовые потребители – правоохранительные структуры, налоговики, ФСС, ПФР, военкоматы, статистические агентства.

Защита персональных данных подразумевает обеспечение их безопасности в случае риска угрозы нарушения конфиденциальности. Это – жестко регламентированный процесс, предотвращающий доступность, нарушение целостности в процессе работы фирмы. Обеспечивается эта мера силами и средствами работодателя. Как и доступ, защита бывает внутренней и внешней. Любой из видов подразумевает создание всевозможных препятствий для доступа злоумышленника к данным.

Права и обязанности работника

Для обеспечения всеобъемлющей защиты данных, которые хранятся у работодателя, работник наделяется набором прав:

  • требование ликвидации искажений в предоставленной информации;
  • бесплатный и своевольный доступ в любое время;
  • выражение своей позиции в отношении своих данных;
  • выбор представителей для защиты;
  • сохранение и защита личного секрета.

Среди обязанностей служащего можно выделить следующие направления:

  • передача в адрес нанимателя достоверных материалов;
  • своевременное уведомление об изменении их сути.

Для сохранения неприкосновенной частной жизни работники должны настаивать, чтобы мероприятия по обработке производились строго с их согласия, оформленного письменно.

Ответственность за нарушение

За факт нарушения установленных законом требований в ст. 90 ТК РФ предусматривается несколько вариантов ответственности:

  • материальная ответственность по ст. 232, 233 ТК РФ, актуальна в случае причинения материального ущерба;
  • дисциплинарное взыскание в виде выговора, предупреждения, увольнения (регламент – ст. 192 ТК РФ);
  • гражданско-правовое наказание в форме принуждения возмещения убытков (регулируется 15-й ст. ГК РФ);
  • административная ответственность (Кодекс административных правонарушений РФ ст. 13.11);
  • уголовное наказание в случае значительных последствий (ст. 137 УК РФ).

Состав и обработка

Сложная и разветвленная структура персональных данных сотрудника включает следующие направления:

  • данные из биографии и анкеты;
  • образование и навыки;
  • общий стаж труда;
  • семейный состав;
  • материалы из удостоверения личности;
  • данные о доходах;
  • специальность и должность;
  • судимости;
  • место проживания;
  • документы.

К числу документов относят:

  • справки,
  • соглашения,
  • отчеты,
  • приказы,
  • аттестаты,
  • трудовые книги,
  • дипломы,
  • сертификаты и т. д.

Все эти сведения хоть и являются относительно доступными, закрыты для посторонних лиц. Вот определенные требования, которые следует соблюдать нанимателю, проводя обработку персональных данных сотрудника:

  1. Осуществление обработки происходит строго для обеспечения соблюдения норм законодательства.
  2. В процессе определения объема нанимателю следует принимать во внимание нормы Конституции РФ.
  3. Обретение сведений может происходить посредством предоставления их либо самим сотрудником, либо с привлечением сторонних источников.
  4. Получать данные необходимо у самого работника, а если это происходит с участием третьей стороны, служащий обязательно осведомляется об этом факте и должен дать свое письменное согласие на данную процедуру.
  5. Работодатель не наделен правом обретения и обработки данных сотрудника, если они связаны с личной жизнью и мировоззрением – религией, культурой, политикой.
  6. То же самое касается материалов, связанных с членством сотрудника в общественных объединениях, профсоюзах, некоммерческих подразделениях.
  7. Есть несколько сотрудников, имеющих право и возможность рассчитывать на передачу, хранение, обработку персональных данных служащего – бухгалтеры, управленцы, кадровики, представители компьютерных служб.
  8. Применение персональных данных – реальная процедура исключительно согласно целям, которые определяют их получение.
  9. Нельзя использовать личную информацию с намерением причинения работнику вреда.
  10. Передача допустима только по согласию самого сотрудника.
  11. При этом наниматель обязуется соблюдать следующий перечень требований (не предоставлять сведения третьей стороне, пока не получено письменное согласие работника; не рассказывать о них в коммерческих целях, если отсутствует уведомление служащего; предупредить лиц, владеющих доступом, о том, что эти сведения должны использоваться строго в соответствии с поставленными целями; разрешать доступ лишь уполномоченным лицам;не совершать запросы в отношении информации, касающейся состояния здоровья сотрудника; передавать данные в порядке, оговоренном в ТК РФ).
  12. Передача персональных данных от законного держателя и его доверенных лиц допустима в минимальных количествах и для выполнения поставленных задач.

Приведенные меры распространяются на бумажные и электронные версии сведений. Хранение информации должно осуществляться в рамках порядка, который исключает ее утрату или неправомерное эксплуатирование. В процессе принятия управленческих решений, которые затрагивают интересы сотрудника, наниматель не вправе опираться на персональные данные служащего, полученные в ходе проведения автоматизированной обработки.

Нормативная регламентация

Нормативно-правовые акты, регулирующие сохранность конфиденциальности личных данных, следующие:

  • Трудовой Кодекс Российской Федерации (глава 14);
  • Федеральное законодательство №152 «О персональных данных»;
  • Гражданский кодекс РФ;
  • региональные нормы.

Помимо этого, взаимоотношения между сторонами регламентируются посредством данного Положения.

Таким образом, Положение о защите персональных данных служащего играет немаловажную роль в перечне всех документов организации, а его пункты обязательны к соблюдению.  Учет всех нюансов позволит избежать проблем с законодательством и прийти к взаимному согласию.

Видео, на котором рассказывается о защите персональных данных.

Положение о персональных данных работников 2021 — образец можно скачать прямо на этой странице — это важнейший локальный акт, который должен быть утвержден в любой организации. Рассмотрим основные правила разработки и принятия этого документа, его структуру, ответственность работодателя за нарушение обязанности по утверждению положения. Вам помогут документы и бланки:

Персональные данные в трудовом праве

Нормативные документы по защите персональных данных

Понятие персональных данных (далее — ПД) закреплено в ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон 152-ФЗ), который был принят в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в Страсбурге 28.01.1981 и ратифицирована РФ 07.11.2001).

Согласно данной норме, персональные данные — это любые сведения, которые прямо или косвенно относятся к физическому лицу. Физическое лицо, на которого распространяются требования закона 152-ФЗ, признается субъектом персональных данных.

В Трудовом кодексе персональным данным работника и их защите посвящена глава 14, регулирующая вопросы хранения, использования и передачи третьим лицам ПД работников организации, требования к этим действиям, а также ответственность работодателя за нарушение законодательства, регулирующего данную сферу.

Подробнее о том, что закон относит к персональным данным, читайте в «КонсультантПлюс». Если у вас еще нет доступа к системе, получите его бесплатно на 2 дня. Или закажите актуальный прайс-лист, чтобы приобрести постоянный доступ. 

Обработка данных работодателем

Обработка ПД работников должна осуществляться в соответствии со следующими основными правилами, установленными ст. 86 ТК РФ:

  • обработка может осуществляться лишь в интересах сотрудников или в связи с осуществлением ими трудовой деятельности;
  • ПД могут быть получены организацией только от своего сотрудника или на основании его письменного согласия от третьей стороны;
  • финансовый источник организации защиты рассматриваемых данных — средства работодателя;
  • не допускается отказ работника от своих прав на защиту ПД, отказ в любой форме не может рассматриваться как действительный;
  • меры по защите ПД — вопрос совместной деятельности работника и работодателя.

Как ведется работа с персональными данными в организации?

Положение об обработке и защите персональных данных работников: содержание и образец

Обязанность предприятия иметь утвержденное положение о персональных данных работников следует из ст. 87 ТК РФ. Согласно данной норме, положение разрабатывается и утверждается работодателем самостоятельно. При этом оно должно отвечать требованиям Трудового кодекса и иных правовых актов в сфере защиты ПД и регулировать вопросы их хранения и использования.

Закон не устанавливает структуру документа, но практикой выработаны основные разделы, которые желательно указать в положении.

В их число входят:

  1. Вводная часть, отражающая основания принятия локального акта. В ней также перечисляются нормы законодательства, регулирующие вопросы обработки ПД, а также раскрываются основные понятия, используемые в Положении (можно взять из ст. 3 закона 152-ФЗ).
  2. Перечень сведений, составляющих ПД сотрудников фирмы.
  3. Перечень обрабатываемых организацией документов, в которых такие сведения содержатся.
  4. Правила обработки данных.
  5. Порядок получения доступа к ПД тех или иных лиц.
  6. Меры, направленные на защиту обрабатываемых данных.
  7. Права и обязанности сторон правоотношений в области работы с ПД.
  8. Ответственность организации за нарушения в сфере охраны и защиты ПД.

С положением о защите персональных данных работников необходимо ознакомить под расписку.

Подпишитесь на рассылку

У нас вы можете скачать готовый образец положения о персональных данных в организации, актуальный на 2021 год: 

Образец положения о персональных данных посмотреть скачать

Порядок принятия

Положение об обработке персональных данных работников является локальным актом организации, потому порядок его разработки и утверждения подчиняется общим требованиям ст. 8 ТК РФ, а также внутренним правилам делопроизводства.

Как правило, данный документ разрабатывается кадровой службой или работником, отвечающим за кадровые вопросы на предприятии. Утверждение его осуществляется приказом руководителя или иного лица, уполномоченного работодателем на издание локальных актов в сфере обработки и защиты ПД (например, курирующий заместитель руководителя).

Положение подписывается руководителем организации. Положению присваивается порядковый номер, на нем проставляется дата издания, а также печать (при ее наличии).

Ответственность работодателя

За нарушение установленных законом требований в области защиты ПД, на основании ст. 90 ТК РФ предусмотрены различные виды ответственности:

  • материальная — при нанесении материального ущерба нарушениями в обращении с персональными данными (ст. 232, 233 ТК РФ);
  • дисциплинарная — нарушитель может быть подвергнут актом руководителя дисциплинарному взысканию, такому как замечание, выговор, увольнение, на основании ст. 192 ТК РФ;
  • гражданско-правовая ответственность — например, возмещение убытков по ст. 15 ГК РФ, компенсация морального вреда по ст. 151 ГК РФ;
  • ответственность административного характера, предусмотренная ст. 13.11 КоАП РФ;
  • уголовная ответственность — за нарушения, повлекшие серьезные или тяжкие последствия (например, публичное распространение частных данных), по ст. 137 УК РФ.

***

Подведем итоги:

  • под понятие ПД подпадает любая информация, относящаяся к конкретному работнику;
  • обработка данных осуществляется в соответствии со ст. 86 ТК РФ и требованиями внутреннего Положения организации;
  • содержание Положения не устанавливается на законодательном уровне, но в силу закона оно должно регулировать порядок хранения и использования ПД;
  • Положение является локальным (внутренним) документом, потому принимается по общим правилам принятия таких актов в организации (ст. 8 ТК РФ);
  • за нарушение правил обработки и распространения ПД нарушитель несет различные виды ответственности (от дисциплинарной до уголовной).

***

Больше полезной информации по теме — в рубрике «Персональные данные». 

Более полную информацию по теме вы можете найти в КонсультантПлюс. Пробный бесплатный доступ к системе на 2 дня. Предыдущий материал Следующий материал Кадровое делопроизводство

Нужно ли положение о персональных данных? Обязательно или нет его наличие в организации? На эти и другие вопросы ответим в материале.

Основное о персданных

Лица, устраивающиеся на работу в организацию или к индивидуальному предпринимателю, раскрывают свою персональную информацию, предоставляя необходимые для трудоустройства документы. К ним, в частности, относятся (ст. 65 ТК РФ):

  • паспорт или иной документ, удостоверяющий личность человека;
  • трудовая книжка (если потенциальный работник не был трудоустроен до этого, книжка заводится работодателем);
  • свидетельство пенсионного страхования и т.д.

Действующее законодательство устанавливает обязанность для работодателей по защите персональных сведений сотрудников. Для методологического подхода к решению данной задачи на предприятии разрабатывается Положение о персональных данных. Обязательно нужно иметь этот документ. Без комплексного подхода надежное хранение и обработка персданных невозможна. К тому же необходимость составить и утвердить данный документ установлена законом.

Информация, составляющая персональные данные сотрудников хранится на предприятии. Для ее систематизации и хранения существуют специальные документы: личные карточки сотрудников и их личные дела. В этих формах содержатся сведения, полученные от сотрудников, в том числе, при трудоустройстве.

Остальная персональная информация собирается в ходе работы сотрудников. Например, к ней относятся сведения о заработной плате, содержащиеся в расчетных ведомостях.

Нужно иметь

Итак, локальный акт, посвященный охране персональных сведений нужен. Более того, все работники должны быть ознакомлены с ним при приеме на работу (ч. 3 ст. 68, ст. 87 ТК РФ). Что обязательно включается в Положение о персональных данных?

Документ представляет собой порядок хранения, обработки и использования персональных сведений сотрудников, установленный в соответствии с требованиями действующего законодательства (ст. 8, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Защита персональных данных является обязанностью организации. Первым и обязательным шагом является утверждение Положения о персональной информации работников. Другим действенным способом защиты является назначение ответственного сотрудника.

Подходящую кандидатуру (в большинстве случаев это работник службы персонала) утверждают приказом директора компании (ч. 5 ст. 88 ТК РФ).

Важно понимать, что никаких сомнений в том, что Положение о персональных данных обязательно должно быть в организации. Правильность данного вывода подтверждают суды (см., например, постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06). Если вопреки законодательству не разработать и не утвердить документ, компанию и ее должностных лиц могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).

Читайте также:  Что относится к персональным данным

Чтобы не ломать голову, составляя нужный локальный акт, предлагаем воспользоваться Положением о персональных данных, разработанным нашими специалистами.

Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».

Что подразумевается под защитой персональных данных? Не секрет, что персданные – это личная и семейная информация работника, которая становится достоянием работодателя в силу, заключенного между ними трудового договора. В свою очередь работодатель обязан позаботиться о сохранности полученных сведений. Совокупность мер, предпринимаемых для этого, является защитой персональных данных. ФЗ № 152 регулирует данную сферу. Подробнее – в материале.

Понятие персинформации

Действительно, сведения о сотрудниках, поступившие в распоряжение администрации организации, являются персональными данными в соответствии с законодательством.

Что это за сведения? Это информация из документов работника, предъявляемых им работодателю, при заключении трудового договора. Напомним, что при приеме на работу будущий сотрудник предъявляет ряд документов, подчиняясь требованиям Трудового кодекса. К ним, в частности, относится (ст. 65 ТК РФ):

  • паспорт (другой документ, удостоверяющий личность);
  • трудовая книжка (если данное место работы для сотрудника не первое);
  • пенсионное свидетельство (при его наличии);
  • документы об образовании, например, диплом ВУЗа (если работа требует определенной квалификации и знаний).

Подробнее об этом см. «Документы, требуемые при трудоустройстве сотрудника».

Важно понимать, что защита персональных данных работника включает в себя охрану не только сведений, предоставленных сотрудником, но и информацию, образовавшуюся в ходе его работы в организации. В частности, к ней относится информация о размере его заработка (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). Отметим, что занимается защитой персональных данных Роскомнадзор – государственный орган, контролирующий данную сферу.

Читайте также:  Согласие работника на обработку персональных данных: бланк на 2021 год

Конкретные действия

Начать мероприятия по охране персданных следует с разработки и утверждения специального Положения о работе с персональной информацией сотрудников. После утверждения локального акта руководителем предприятия с документом нужно ознакомить работников (ст. 8, п. 8 ч. 1 ст. 86, ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».

Следующий этап пошаговой инструкции о защите персональных данных в организации – назначение ответственного сотрудника. Обычно кандидатуру выбирают из сотрудников отдела кадров, подразделения, которое чаще других использует персональные сведения работников.

Подходящего работника, способного исполнять данную функцию, назначают приказом директора (ч. 5 ст. 88 ТК РФ). Назначив ответственного, понятно, куда обращаться за защитой персональных данных. Этот работник не только отвечает за сохранность персинформации работников, но и несет за это ответственность, вплоть до уголовной.

Конечно, конкретные меры по обеспечению сохранности данных персонала предусмотрены Законом № 152-ФЗ (ст. 19 Закона). Используя их в качестве шаблона, можно разработать свою систему безопасности приватной информации.

При ее разработке нужно обратить внимание на обработку персинформации. Именно в ходе отдельных этапов возможна утрата и разглашение сведений. К ним относится (п. 6 требований, утв. постановлением Правительства от 01.11.2012 № 1119):

  • внесение изменений;
  • копирование;
  • уничтожение;
  • распространение и т.д.

Читайте также:  Уведомляем о прекращении обработки персональных данных: образец

В зависимости от вида угрозы, которой может подвергаться информация, выбирают конкретные средства для защиты персональных данных. В образовательной организации свои риски разглашения сведений, на промышленном предприятии – другие. Для выбора необходимо руководствоваться нормативными актами ФСБ и ФСТЭК (п. 4, 7 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Также уровень защищенности подбирают в зависимости от категории охраняемых данных и количества сотрудников. Законодательством установлены 4 уровня защиты, в соответствии с которыми принимаются соответствующие меры защиты систем обработки персональных персданных (п. 13-16 требований, утв. постановлением Правительства от 01.11.2012 № 1119). К ним, например, относятся (приказ ФСТЭК от 18.02.2013 № 21):

  • обеспечение безопасности помещений, где хранятся данные;
  • назначение ответственных лиц и т.д.

Понравилась статья? Поделитесь ссылкой с друзьями:

Комментарии
Блог для кадровика: трудовое законодательство, образцы кадровых документов, оформление и прекращение трудовых отношений, выплаты в пользу работников и многие другие кадровые вопросы рассматриваются этом сайте. Наш сайт будет полезен кадровым работникам небольших организаций и индивидуальным предпринимателям. На сайте представлен бесплатный профессиональный контент. При этом мы стараемся минимизировать количество рекламы, чтобы она не отвлекала от прочтения статей.

1. ОПРЕДЕЛЕНИЕ ТЕРМИНОВ

Существующее на текущий момент Положение о защите персональных данных (далее – Положение) работает со следующими понятиями:

  1. «Администрация сайта». Так называют представляющих интересы организации специалистов, в чьи обязанности входит управление сайтом, то есть организация и (или) обработка поступивших на него персональных данных. Для выполнения этих обязанностей они должны чётко представлять, для чего обрабатываются сведения, какие сведения должна быть обработаны, какие действия (операции) должны производиться с полученными сведениями.
  2. «Персональные данные» — сведения, имеющие прямое или косвенное отношение к определённому либо определяемому физическому лицу (также называемому субъектом персональных данных).
  3. «Обработка персональных данных» — любая операция (действие) либо совокупность таковых, которые Администрация производит с персональными данными. Их могут собирать, записывать, систематизировать, накапливать, хранить, уточнять (при необходимости обновлять или изменять), извлекать, использовать, передавать (распространять, предоставлять, открывать к ним доступ), обезличивать, блокировать, удалять и даже уничтожать. Данные операции (действия) могут выполняться как автоматически, так и вручную.
  4. «Конфиденциальность персональных данных» — обязательное требование, предъявляемое к Оператору или иному работающему с данными Пользователя должностному лицу, хранить полученные сведения в тайне, не посвящая в них посторонних, если предоставивший персональные данные Пользователь не изъявил своё согласие, а также отсутствует законное основание для разглашения.
  5. «Пользователь сайта» (далее — Пользователь)» – человек, посетивший сайт, а также пользующийся его программами и продуктами.
  6. «Cookies» — короткий фрагмент данных, пересылаемый веб-браузером или веб-клиентом веб-серверу в HTTP-запросе, всякий раз, когда Пользователь пытается открыть страницу сайта. Фрагмент хранится на компьютере Пользователя.
  7. «адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу.

2. ОБЩИЕ ПОЛОЖЕНИЯ

  1. Просмотр сайта, а также использование его программ и продуктов подразумевают автоматическое согласие с принятым там Положением, подразумевающей предоставление Пользователем персональных данных на обработку.
  2. Если Пользователь не принимает существующее Положение, Пользователь должен покинуть сайт.
  3. Имеющееся Положение распространяется только на сайт. Если по ссылкам, размещённым на сайте последнего, Пользователь зайдёт на ресурсы третьих лиц, сайт за его действия ответственности не несёт.
  4. Проверка достоверности персональных данных, которые решил сообщить принявший Положение Пользователь, не входит в обязанности Администрации сайта.

3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

  1. Согласно проводимой в текущий период Политике конфиденциальности Администрация сайта обязана не разглашать персональные данные, сообщаемые Пользователями, регистрирующимися на сайте или оформляющими заказ на покупку товара, а также обеспечивать этим данным абсолютную конфиденциальность. Чтобы сообщить персональные данные, Пользователь заполняет расположенные на сайте электронные формы. Персональными данными Пользователя, которые подлежат обработке, являются запрашиваемые по электронной формой данные, и данные внесенные в произвольные поля по желанию пользователя.
  2. Защита данных, автоматически передаваемых при посещении страниц с установленными на них статистическими скриптами системы (пикселями) осуществляется сайтом. Вот перечень этих данных:
    • -адрес;
    • сведения о браузере (либо другой программе, через которую становится доступен показ рекламы);
    • время посещения сайта;
    • адрес страницы, на которой располагается рекламный блок;
    • реферер (адрес предыдущей страницы).
  3. Последствием отключения может стать невозможность доступа к требующим авторизации частям сайта.
  4. Сайт собирает статистику об адресах всех посетителей. Данные сведения нужны, чтобы выявить и решить технические проблемы и проконтролировать, насколько законным будет проведение финансовых платежей.
  5. Любые другие неоговорённые выше персональные сведения (о том, когда и какие покупки были сделаны, какой при этом использовался браузер, какая была установлена операционная система и пр.) надёжно хранятся и не распространяются. Исключение существующая Политика конфиденциальности предусматривает для случаев, описанных в п.п. 5.2 и 5.3.

4. ЦЕЛИ СБОРА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ

Сбор персональных данных Пользователя Администрацией сайта проводится ради того, чтобы:

  1. Установить с Пользователем обратную связь, под которой подразумевается, в частности, рассылка запросов и уведомлений, касающихся использования сайта, обработка пользовательских запросов и заявок, оказание прочих услуг.
  2. Определить местонахождение Пользователя, чтобы обеспечить безопасность и предотвратить мошенничество.
  3. Подтвердить, что данные, которые предоставил Пользователь, полны и достоверны.
  4. Своевременно информировать Пользователя об обновлённой продукции, ознакомлять его с уникальными предложениями, новыми прайсами, новостями о деятельности сайта или его партнёров и прочими сведениями, если Пользователь изъявит на то своё согласие.

5. СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ

  1. Срок обработки персональных данных Пользователя ничем не ограничен. Процедура обработки может проводиться любым предусмотренным законодательством способом. В частности, с помощью информационных систем персональных данных, которые могут вестись автоматически либо без средств автоматизации.
  2. Обработанные Администрацией сайта персональные данные Пользователя могут передаваться третьим лицам, в число которых входят курьерские службы, организации почтовой связи, операторы электросвязи.
  3. Также обработанные Администрацией сайта персональные данные могут передаваться уполномоченным органов государственной власти Российской Федерации, если это осуществляется на законных основаниях и в предусмотренном российским законодательством порядке.
  4. Если персональные данные будут утрачены или разглашены, Пользователь уведомляется об этом Администрацией сайта.
  5. Все действия Администрации сайта направлены на то, чтобы не допустить к персональным данным Пользователя третьих лиц (за исключением п.п. 5.2, 5.3). Последним эта информация не должна быть доступна даже случайно, дабы те не уничтожили её, не изменили и не блокировали, не копировали и не распространяли, а также не совершали прочие противозаконные действия. Для защиты пользовательских данных Администрация располагает комплексом организационных и технических мер.
  6. Если персональные данные будут утрачены либо разглашены, Администрация сайта совместно с Пользователем готова принять все возможные меры, дабы предотвратить убытки и прочие негативные последствия, вызванные данной ситуацией.

6. ОБЯЗАТЕЛЬСТВА СТОРОН

В обязанности Пользователя входит:

  1. Сообщение соответствующих требованиям сайта сведений о себе.
  2. Обновление и дополнение предоставляемых им сведений в случае изменения таковых.

В обязанности Администрации сайта входит:

  1. Применение полученных сведений исключительно в целях, обозначенных в п. 4 существующей Политики конфиденциальности.
  2. Обеспечение конфиденциальности поступивших от Пользователя сведений. Они не должны разглашаться, если Пользователь не даст на то письменное разрешение. Также Администрация не имеет права продавать, обменивать, публиковать либо разглашать прочими способами переданные Пользователем персональные данные, исключая п.п. 5.2 и 5.3 существующей Политики конфиденциальности.
  3. Принятие мер предосторожности, дабы персональные данные Пользователя оставались строго конфиденциальными, точно также, как остаются конфиденциальными такого рода сведения в современном деловом обороте.
  4. Блокировка персональных пользовательских данных с того момента, с которого Пользователь либо его законный представитель сделает соответствующий запрос. Право сделать запрос на блокировку также предоставляется органу, уполномоченному защищать права Пользователя, предоставившего Администрации сайта свои данные, на период проверки, в случае обнаружения недостоверности сообщённых персональных данных либо неправомерности действий.

7. ОТВЕТСТВЕННОСТЬ СТОРОН

  1. В случае неисполнения Администрацией сайта собственных обязательств и, как следствие, убытков Пользователя, понесённых из-за неправомерного использования предоставленной им информации, ответственность возлагается на неё. Об этом, в частности, утверждает российское законодательство. Исключение существующая в настоящее время Политика конфиденциальности делает для случаев, отражённых в п.п. 5.2, 5.3 и 7.2.
  2. Но существует ряд случаев, когда Администрация сайта ответственности не несёт, если пользовательские данные утрачиваются или разглашаются. Это происходит тогда, когда они:
    1. Превратились в достояние общественности до того, как были утрачены или разглашены.
    2. Были предоставлены третьими лицами до того, как их получила Администрация сайта.
    3. Разглашались с согласия Пользователя.

РАЗРЕШЕНИЕ СПОРОВ

  1. Если Пользователь недоволен действиями Администрации сайта и намерен отстаивать свои права в суде, до того, как обратиться с иском, он в обязательном порядке должен предъявить претензию (письменно предложить урегулировать конфликт добровольно).
  2. Получившая претензию Администрация обязана в течение 30 календарных дней с даты её получения письменно уведомить Пользователя о её рассмотрении и принятых мерах.
  3. Если обе стороны так и не смогли договориться, спор передаётся в судебный орган, где его должны рассмотреть согласно действующему российскому законодательству.
  4. Регулирование отношений Пользователя и Администрации сайта в Политике конфиденциальности проводится согласно действующему российскому законодательству.

ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ

  1. Администрация сайта вправе менять существующую на текущий момент Политику конфиденциальности, не спрашивая согласия у Пользователя.
  2. Вступление в силу новой Политики конфиденциальности начинается после того, как информация о ней будет выложена на сайт, если изменившаяся Политика не подразумевает иного варианта размещения.
  3. Все предложения, пожелания, требования или вопросы по настоящей Политике конфиденциальности следует сообщать путем отправки электронного письма по адресу mrt@siemed.org

Понравилась статья? Поделиться с друзьями: