Согласие на обработку персональных данных сотрудника: Согласие на обработку персональных данных – бланк 2020 – 2021
Обработка персональных данных сотрудников, защита персональных данных работника
Одним из направлений деятельности компании «Интегрус» является помощь с настройкой систем обработки персональных данных работников. Начиная с прошлого года на законодательном уровне закреплены правила, регламентирующие все действия с персональными данными, законодательно закрепляя ответственность работодателей за предоставленную им личную информацию.
Обработка персональных данных сотрудника
Оформляя на работу сотрудников, работодатель, обладающий функцией оператора персональных данных, запрашивает сведения, которые используются по нормам законодательства (налогового, трудового, бухгалтерского). Действует он в рамках Федерального Закона № 152 «О персональных данных». Положение об обработке персональных данных работников предусматривает сохранность сведений, по которым можно идентифицировать человека:
- фамилии/имени/отчества;
- даты/места рождения;
- образования;
- адреса регистрации;
- данных визуальной идентификации;
- семейных связей;
- заработка;
- оценочной информации о профпригодности;
- фактов биографии и предыдущих мест работы.
Положение о защите персональных данных запрещает разглашать вопросы, касающиеся национальности, политических и религиозных убеждений, здоровья, интимных подробностей жизни сотрудников. Все исключения из правил зафиксированы в ч. 2 ст. 10 ФЗ № 152. При обработке разрешается использовать лишь информацию, характеризующую граждан как одну из сторон трудового договора. Вопросы социального и имущественного статуса к ним не относятся.
Защите подлежит информация из:
- удостоверений личности;
- трудовой книжки;
- документов о воинском учете, образовании, семейном положении;
- бухгалтерии;
- анкетирования при устройстве на работу;
- формы Т-2;
- свидетельств о браке, рождении ребенка;
- медицинских документов.
Положение о защите персональных данных работников считает любые манипуляции с вышеупомянутой информацией «обработкой», вне зависимости от этапа записи, систематизации, использования или удаления. Сохранность предоставленной работниками информации возникает при сочетании физической, технической и административной безопасности. Существуют четыре степени защиты, учитывающие объем информации, категорийность данных, тип возможных угроз. Максимальный (первый) подразумевает полноценное хранение и использование общедоступной, биометрической и личной информации.
Ошибки оборачиваются крупными штрафами, проверками Роскомнадзора. Нарушения влекут гражданскую, уголовную, административную, дисциплинарную ответственность. Решение по самостоятельной обработке информации о сотрудниках означает упорядоченность дальнейших действий с пониманием степени требуемой защиты, ее программной и технической реализацией. После оформления юридических документов разрабатываются инструкции и регламенты. Стоимость внедрения разработки включает покупку оборудования и лицензий оплату труда людей, которые в дальнейшем будут поддерживать работу информационной системы.
Роскомнадзор контролирует соблюдение законодательства, производит регулировку взаимоотношений. Техтребования определяются ФСБ и ФСТЭК с целью разработки эффективных механизмов по защите и контролю за исполнением законодательных актов в области защиты информации. От работодателя требуется не допускать утечки информации в руки третьих лиц, не обладающих правами на нее, постоянно осуществляя мониторинг и контроль уровня ее сохранности (восстановления).
Согласие на обработку персональных данных
П. 1 ст. 6 и 9 ФЗ № 152 обязывает получать согласие работника на обработку персональных данных. Во избежание судебного разбирательства рекомендуется оформлять заявление на обработку письменно.
При получении информации о работнике из внешних источников, передаче ее третьим лицам, а также для обработки специальных персональных данных, касающихся убеждений, здоровья, национальности и вероисповедания письменное подтверждение согласия обязательно!
Сотрудник вправе оформить аннулировать его. Продолжить обрабатывать данные, не имея документа о согласии, возможно лишь при наличии весомых причин, перечисленных в пп.2-11 ч.1. ст.6, ч. 2 ст. 10, ч. 2 ст. 11 ФЗ № 152.
Получить согласие на обработку персональных данных сотрудника при наступлении недееспособности можно письменно у его законных представителей, либо в случае смерти – у наследников, если таковое не было оформлено, пока человек был жив.
Работодатель всегда должен информировать о целях использования и способах получения данных о человеке, их характере, уведомлять о последствиях отказа от предоставления нужной информации. Защита, хранение, передача информации, необходимой для реализации трудового договора, не требует согласия.
Порядок и мероприятия по защите персональных данных работников
Порядок обработки персональных данных работников жестко регламентирован законом, и нормативно-правовыми актами. Защитные мероприятия разрабатываются работодателями, работниками (их представителями) совместно. Обработка и защита данных направлены исключительно на:
- содействие в трудоустройстве;
- получение необходимого образования;
- продвижение по служебной лестнице;
- обеспечение безопасности;
- контроль качества и количества работы;
- обеспечение сохранности имущества.
Обрабатывая, используя и защищая данные, работодатель обязан придерживаться определенного алгоритма:
- Сформировать документ, регулирующий правила хранения и использования информации, с которым ознакомить всех сотрудников.
- Утвердить акт с перечнем используемых в рабочем процессе данных о сотруднике, поданных последним письменно и используемых в работе отдела кадров и при подаче документов в госорганы.
- Назначить лиц, которые должны отвечать за обработку и осуществление безопасность собранных данных.
- Собирать все заявления о разрешении сотрудников на обработку их личной информации, журналы по учету движения данных и проверок документов.
- Определить места хранения документов в сейфах и оборудованных шкафах с необходимостью опечатывания.
Защита персональных данных работника компании облачного клиента
Обработка и защита персональных данных работника компании облачного клиента требуются не только предприятиям, но и облачным сервис-провайдерам. Последним необходим комплекс ресурсов, отвечающих за обработку и хранение полученной информации, чтобы защита персональных данных сотрудника либо клиента не имела брешей, через которые возможна утечка информации. Безопасность облачных информсистем сопоставима с ШЕ-инфраструктурой крупных фирм с собственным дата-центром.
Технически защита информации подобным способом максимально надежна, но недешева, поэтому доступна лишь крупным компаниям. Облачный провайдер финансово отвечает перед заказчиками за любую утрату информации и обязан своевременно обновлять средства информационной безопасности. Провайдер не обладает информацией о содержании данных, переданных ему на хранение.
Обработка и защита персональных данных работника допускает передачу информсистем на аутсорсинг, разделяя поровну между сервис-провайдером и оператором юридическую ответственность. Каждый провайдер в обязательном порядке исполняет функцию оператора персональных данных, предоставляя гарантии защиты персональных данных параллельно с первым оператором-заказчиком. Все операторы имеют обязательную аттестацию ФСТЭК и ФСБ, опираются в работе на 152-ФЗ.
Персональные данные работников организации и их защита требуют постоянного внимания операторов. При выборе облачного хранилища информации персональных данных важно, но необязательно, наличие аттестации. Она позволяет судить о соответствии организационных и технических требований безопасности пр.21 ФСТЭК, в соответствии с которым оператор персональных данных имеет:
- Регистрацию в Роскомнадзоре.
- Письменное согласие на обработку данных от всех субъектов, подтверждающую законность действий.
- Внутреннее «Положение об обработке персональных данных» с указанием сферы их использования, возможностей передачи, на основе которого разрабатываются сопутствующие документы.
Право работников на защиту персональных данных устанавливается ТК РФ, федеральным законодательством и обеспечивается работодателем. Срок обработки персональных данных работников ограничивается достижением заранее определенных, конкретных целей.
Работодатель имеет право проводить обработку персональных данных уволенных сотрудников в целях налогового и бухгалтерского учета, храня копии трудовых книжек. При этом работник вправе в письменном виде потребовать уничтожения документов с бывшего места работы с его персональными данными.
Основные нарушения при обработке персональных данных работника
Работники – те субъекты персональных данных, благодаря которым операторами персональных данных являются почти все юридические лица нашей страны. Именно поэтому они находятся в привилегированном положении: в трудовом кодексе выделена целая глава, которая регулирует вопросы обработки отдельного вида персональных данных – персональных данных работников. Кроме того, новое Постановление Правительства РФ № 1119 от 01.11.2012, установило новый вид информационной системы персональных данных (Далее – ИСПДн) – ИСПДн, обрабатывающая персональные данные (ПДн) сотрудников оператора.
Несмотря на то, что законодатель нас постоянно подталкивает к защите и грамотной организации обработки персональных данных работников, большинство работодателей от этого старательно уклоняются. У каждого свои причины, но самая главная из них – страх перед неизведанным. В этой статье мы попытаемся передать необходимые знания об основных нарушениях при обработке персональных данных работников и о том, что необходимо сделать для их устранения.
Главная проблема в защите и организации обработки персональных данных – это наличие правовой основы обработки персональных данных. Запомните: сколько бы вы не потратили сил и времени на выполнение требований законодательства о персональных данных, – это может быть все впустую, если вы нарушаете принципы и условия их обработки. Принципы (статья 5 ФЗ «О персональных данных») и условия обработки (статья 6 закона ФЗ «О персональных данных) по нашему мнению, одни из самых главных статей ФЗ «О персональных данных». Поясним почему. Удивительно, но 99 % знакомых и опрошенных нашими коллегами специалистов кадровых служб уверены, что они имеют право хранить ксерокопию паспорта сотрудника, при том, что, только 5% из них могут сказать для чего он им нужен, и никто из них не может назвать правовое основание и законную цель обработки материального носителя персональных данных – ксерокопии.
Дело в том, что в нашем законодательстве нет законного основания для хранения ксерокопий паспортов работника в личном деле (кроме некоторых случаев, связанных с государственной службой). Главное не путать – хранение без цели (на всякий случай) и однократное использование для каких-либо нужд (например, если нужно ксерокопию паспорта работника отправить в учебное заведение, где он будет повышать квалификацию или в банк для выдачи банковской карты). Во втором случае, если нам нужна копия этого документа, то мы ее у него запрашиваем непосредственно для выполнения определенного действия с персональными данными. Хранение документов «на всякий случай» запрещено статьей 5 ФЗ «О персональных данных».
Более того – даже, если взять с работника согласие на обработку ксерокопии паспорта – это не поможет, потому что исходя из статьи 5 ФЗ «О персональных данных»: обработке подлежат только те ПДн, которые отвечают целям их обработки, а цели должны быть конкретными и законными. Грубо говоря, вы не сможете объяснить Роскомнадзору РФ – зачем вам эти данные. Вы скажете – для трудоустройства, они вам в ответ – ТК РФ устанавливает закрытый перечень документов, предъявляемых при поступлении на работу.
Что касается целей обработки персональных данных работников, то мы должны придерживаться рамок Трудового кодекса Российской Федерации – статья 86: «обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества».
Здесь мы плавно переходим к другому самому частому нарушению, фиксируемому Роскомнадзором (его территориальными органами), при проведении проверочных мероприятий. Сейчас почти в каждой организации заработную плату работники получают на банковские карты. Однако, в большинстве случаев (почти всегда), отношения с банком в области обработки персональных данных оформляются неправильно с точки зрения регуляторов. Прежде всего, с работника забывают взять согласие, а так как по ТК это согласие должно быть в письменной форме, его необходимо оформить со всеми требованиями статьи 9 ФЗ «О персональных данных». Очень часто операторы путаются в согласиях для зарплатного проекта, потому что банки предоставляют свои формы согласий. Здесь важно понимать, что согласие должен давать работник своему работодателю на передачу своих персональных данных в банк (статья 88 ТК РФ).
Кроме этого, в договоре с банком Роскомнадзор (его территориальный орган) часто замечает такой вид правоотношений в области персональных данных, как поручение оператором обработки другому лицу. То есть, работодатель поручает банку обрабатывать персональные данные своих работников. Данная постановка вопроса – весьма спорная. Не спроста ни один банк добровольно это не признает, но есть ли там поручение обработки или нет, как и что нужно сделать, чтобы избежать проблем – это тема для отдельной дискуссии. Мы же просто доводим до читателя факты – отсутствие в договоре с банком положений части 3 статьи 6 ФЗ “О персональных данных” – одно из главных нарушений, устанавливаемых Роскомнадзором (его территориальным органом) при проведении проверочных мероприятий (третье основное нарушение).
При том, нарушители здесь не банки, а работодатели, потому что именно они поручают обработку персональных данных. Поэтому, чтобы избежать возможных проблем – просмотрите свой договор с банком и внесите в него дополнения. Текст, который нужно добавить, можно легко извлечь из части 3 статьи 6 ФЗ “О персональных данных”. Также, обратите внимание не только на договор с банком, но и на другие договоры, в соответствии с которыми вы передаете персональные данные работников. Это могут быть, например, договоры на обучение работников, или на проведение медицинских осмотров.
Возвращаясь к проблеме ксерокопии паспорта, стоит обратить внимание на все личное дело сотрудников и определить – все ли документы, в нём находящиеся, вы обрабатываете законно. Нет ли в этих документах, например, сведений о судимости. В соответствие со статьей 10 ФЗ “О персональных данных” сведения о судимости могут обрабатываться только в установленных законом случаях. Прочитайте её, пожалуйста, полностью. Поэтому, если вы “обычный”работодатель, а не, например, школа, то вы не можете обрабатывать сведения о судимости работников, как бы ваша служба безопасности этого не хотела.
Другое частое нарушение законодательства о персональных данных в данной сфере – сбор излишней информации о родственниках. Часто в личном деле работника можно встретить такие сведения о родственниках как место их работы, контактные телефоны (это как минимум). К сожалению, если опираться на законодательство, то в большинстве случаев работодатель может обрабатывать только данные о родственниках, которые указаны в карточке Т-2. Естественно, мы не рассматриваем случаи, когда работник – государственный служащий. Там совсем другая ситуация с данными родственников и другие подобные случаи.
Кроме нарушения непосредственно самого закона, работодатель часто нарушает и требования подзаконных актов, в частности Постановления Правительства 687 от 15.09.2008. Самый частый случай – нарушение пункта 6 данного постановления: «Лица, осуществляющие обработку персональных данных… должны быть проинформированы о факте обработке ими персональных данных,… категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки…».
Все возможные нарушения невозможно изложить в данной статье, но мы надеемся, что она поможет вам избежать основные. Еще важно понимать, что сотрудники Роскомнадзора РФ (его территориальных органов) при проведении проверки не будут досконально изучать ваши локальные документы, часто они вообще не уделяют им внимание – есть – хорошо (если нет, то плохо). Сотрудники Роскомнадзора РФ (его территориальных органов), как большие профессионалы, поступают правильно, ведь намного важнее не наличие красивых документов, а законность обработки тех или иных персональных данных. И в подтверждение наших доводов видно, что почти все основные нарушения вообще не связаны с комплектом ваших внутренних документов. Вы пригласили специалистов, они сделали вам комплект документов, поставили средства защиты и ушли, оставив вас один на один со всеми проблемами.
Поэтому, важным элементом построения грамотной защиты и системы обработки ПДн в организации является наличие своего специалиста разбирающегося в законодательстве о персональных данных. Мы не говорим, что надо их искать и увеличивать штат. Обработка персональных данных – это каждодневная деятельность сотрудника отдела кадров. И вдвойне будет замечательно, если ваш кадровик во всем сам разберется, станет хорошим специалистом и в этом вопросе (именно в вопросах обработки персональных данных работников). Если у вас обрабатываются персональные данные и других субъектов – не надо все валить на специалиста по кадрам, так как обработка персональных данных иных субъектов также требует определенных знаний. Возможно, для этого его нужно будет отправить на пару семинаров или пригласить на аудит сторонних специалистов, но это будет лучше, чем не иметь такого специалиста вообще.
В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.
Обработка персональных данных / Официальный сайт МБОУ “Школа №70”
Главная / Документы / Работа с персональными данными
1.
Общие положенияНастоящая Политика разработана на основании Конституции РФ, Гражданского Кодекса РФ, Трудового Кодекса РФ, и в соответствии с требованиями Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных», Постановления Правительства РФ от 21.03.2012 N 211″Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами”.
Цель данной Политики – обеспечение прав граждан при обработке их персональных данных, и принятие мер от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных Субъектов.
Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью учреждения, в частности для:
- предоставления образовательных услуг;
- проведения олимпиад, консультационных семинаров; направление на обучение; направление работ сотрудников (учащихся, воспитанников) на конкурсы;
- дистанционного обучения;
- ведения электронного дневника и электронного журнала успеваемости (для школ, О(С)ОШ, интернатов;
«МБОУ «Школа №70»» собирает данные только в объеме, необходимом для достижения выше названных целей.
Передача третьим лицам, персональных данных без письменного согласия не допускаются.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
Сотрудники, в обязанность которых входит обработка персональных данных Субъекта, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также настоящей Политикой.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
Настоящая политика утверждается Директором МБОУ «Школа №70» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Субъекта.
2. Понятие и состав персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – Субъекту).
К персональным данным Субъекта, которые обрабатывает «Школа №70» относятся:
- фамилия имя отчество;
- адрес места жительства;
- паспортные данные;
- данные свидетельства о рождении;
- контактный телефон;
- результаты успеваемости и тестирования;
- номер класса;
- иная необходимая информация, которую субъект добровольно сообщают о себе для получения услуг предоставляемых МБОУ «Школа №70», если ее обработка не запрещена законом.
3. Принципы обработки персональных данных Субъекта
Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
МБОУ «Школа №70» ведет обработку персональных данных Субъекта с использованием средств автоматизации (автоматизированная обработка), и без использования таких средств (неавтоматизированная обработка).
Обработка персональных данных должна осуществляться на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям МБОУ «Школа №70»;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
- уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
- личной ответственности сотрудников МБОУ «Школа №70» за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
4. Обязанности
В целях обеспечения прав и свобод человека и гражданина МБОУ «Школа №70» при обработке персональных данных Субъекта обязано соблюдать следующие общие требования:
- обработка персональных данных Субъекта может осуществляться исключительно в целях оказания законных услуг Субъектам;
- персональные данные Субъекта следует получать у него самого. Если персональные данные Субъекта, возможно, получить только у третьей стороны, то Субъекта должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники МБОУ «Школа №70» должны сообщить Субъектам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа Субъекта дать письменное согласие на их получение;
- МБОУ «Школа №70» не имеет права получать и обрабатывать персональные данные о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, вправе обрабатывать указанные персональные данные Субъекта только с его письменного согласия;
- предоставлять Субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
- хранение и защита персональных данных Субъекта от неправомерного их использования или утраты обеспечивается МБОУ «Школа №70», за счет его средств в порядке, установленном действующим законодательством РФ;
- в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу Субъекта либо уполномоченного органа по защите прав субъектов персональных данных МБОУ «Школа №70» обязано осуществить блокирование персональных данных на период проверки;
- в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных Субъектом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
- в случае достижения цели обработки персональных данных МБОУ «Школа №70» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом Субъекта, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
- в случае отзыва Субъектом согласия на обработку своих персональных данных МБОУ «Школа №70» обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между МБОУ «Школа №70» и Субъектом. Об уничтожении персональных данных МБОУ «Школа №70» обязан уведомить Субъекта;
5. Права Субъекта
- Право на доступ к информации о самом себе.
- Право на определение форм и способов обработки персональных данных.
- Право на отзыв согласия на обработку персональных данных.
- Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
- Право требовать изменение, уточнение, уничтожение информации о самом себе.
- Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
- Право на дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения.
- Право определять представителей для защиты своих персональных данных.
- Право требовать от МБОУ «Школа №70» уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Субъекта, обо всех произведенных в них изменениях или исключениях из них.
6. Доступ к персональным данным Субъекта
Персональные данные Субъекта могут быть предоставлены третьим лицам только с письменного согласия Субъекта.
Доступ Субъекта к своим персональным данным предоставляется при обращении либо при получении запроса Субъекта. МБОУ «Школа №70» обязано сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение тридцати рабочих дней с момента обращения или получения запроса.
Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Клиент имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных МБОУ «Школа №70», а также цель такой обработки;
- способы обработки персональных данных, применяемые МБОУ «Школа №70»;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.
Сведения о наличии персональных данных должны быть предоставлены Субъекта в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Право Субъекта на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
7. Защита персональных данных
Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
Регламентация доступа персонала к документам и базам данных с персональными сведениями входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании. Для защиты персональных данных субъектов необходимо соблюдать ряд мер:
- осуществление пропускного режима в служебные помещения;
- назначение должностных лиц, допущенных к обработке ПД;
- хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
- наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
- в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
- осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
- осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства.
Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
Для защиты персональных данных Субъектов необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны, сигнализации;
- порядок охраны помещений, транспортных средств;
- требования к защите информации, предъявляемые соответствующими нормативными документами.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8. Ответственность за разглашение персональных данных и нарушение
МБОУ «Школа №70» ответственно за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением, установленных в организации принципов уважения приватности.
Каждый сотрудник МБОУ «Школа №70», получающий для работы доступ к материальным носителям персональным данных, несет ответственность за сохранность носителя и конфиденциальность информации.
МБОУ «Школа №70» обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Субъектов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.
Любое лицо может обратиться к сотруднику МБОУ «Школа №70» с жалобой на нарушение данной Политики. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в течение тридцати рабочих дней с момента поступления.
Сотрудники МБОУ «Школа №70» обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Субъектов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящей политики, привлекаются к дисциплинарной ответственности.
Внесены изменения в связи с переименованием Утверждено на собрании трудового коллектива Протокол № 01 от 27. 08. 2015 г. | «Утверждаю» Директор МБОУ «Школа №70» Г.Н.Лежнева Приказ № 87 от 28.08.2015г. |
Положение
о защите персональных данных сотрудников
МБОУ «Школа №70»
1 Общие положения
1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информатизации и защите информации».
1.3. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
1.4. Настоящее Положение утверждается и вводится в действие приказом Директора и является обязательным для ознакомления всеми работниками муниципального бюджетного общеобразовательного учреждения «Школа № 70» ( далее – Школа).
2 Понятие и состав персональных данных
2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. В состав персональных данных работника входят данные, указанные в утвержденном Перечне персональных данных информационной системы персональных данных (ИСПДн) Школы.
2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения – соответствующий гриф ограничения на них не ставится.
3 Обработка персональных данных
3.1 Под обработкой персональных данных работника понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
3.2 В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
- 3.2.1 обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- 3.2.2 при определении объема и содержания, обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами;
- 3.2.3 персональные данные следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
- 3.2.4 работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия;
- 3.2.5 работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.3 К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники бухгалтерии.
3.4 Использование персональных данных возможно только в соответствии с целями, определившими их получение:
- 3.4.1 персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3.5 Передача персональных данных работника третьим лицам возможна только с согласия работника или в случаях, прямо предусмотренных законодательством:
- 3.5.1 при передаче персональных данных работника работодатель должен соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
- 3.5.2 передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;
- 3. 5.3 при передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
3.6 Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7 Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
3.8 Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.9 При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
4 Доступ к персональным данным
4.1 Внутренний доступ (доступ внутри организации): 4.1.1 право доступа к персональным данным имеют лица, указанные в утвержденном Списке пользователей ИСПДН Школы.
4.2 Внешний доступ:
- 4.2.1 к числу потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления;
- банки;
- 4.2.2 надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции;
- 4.2.3 организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения;
- 4. 2.4 другие организации.
Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только по письменному запросу на бланке организации с письменного согласия работника.
Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.
5 Защита персональных данных
5.1 Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2 Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3 Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
5.4 Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
5.5 «Внутренняя защита»:
- 5.5.1 регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации;
- 5.5.2 для обеспечения внутренней защиты персональных данных работников предусматривается:
- назначение должностных лиц, допущенных к обработке ПД;
- хранение ПД на бумажных носителях в охраняемых или запираемых помещениях, сейфах, шкафах;
- наличие необходимых условий в помещении для работы с документами и базами данных с персональными сведениями;
- организация порядка уничтожения информации;
- ознакомление работников, непосредственно осуществляющих обработку ПД, с требованиями законодательства РФ в сфере ПД, локальными актами оператора в сфере ПД и обучение указанных работников.
- осуществление обработки ПД в автоматизированных информационных системах на рабочих местах с разграничением полномочий, ограничение доступа к рабочим местам, применение механизмов идентификации доступа по паролю и электронному ключу, средств криптозащиты;
- осуществление внутреннего контроля соответствия обработки ПД требованиям законодательства;
- не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Директору, и в исключительных случаях, по письменному разрешению Директора, – начальникам отделов (например, при подготовке материалов для аттестации работника).
5.6 «Внешняя защита»:
- 5.6.1 для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для несанкционированного доступа и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. ;
- 5.6.2 под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала;
- 5.6.3 для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим организации;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений;
- требования к защите информации при интервьюировании и собеседованиях.
5.7 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
5.8 По возможности персональные данные обезличиваются.
6 Права и обязанности работника
6.1 В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
- требовать исключения или исправления неверных или неполных персональных данных.
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
- персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны.
6.2 Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
- своевременно сообщать работодателю об изменении своих персональных данных
- ставить работодателя в известность об изменении фамилии, имени, отчества, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
6.3 В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
7 Ответственность за разглашение конфиденциальной информации, связанной с персональными данными
7.1 Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
7.2 Сотрудники, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3 Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4 Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
7.5 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:
- 7.5.1 за неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания;
- 7.5.2 должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях;
- 7. 5.3 в соответствии с Гражданским Кодексом РФ лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников;
- 7.5.4 уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.
7.6 Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.
ПАМЯТКА
Уважаемые родители!
В соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” и вступлением его в силу, в целях защиты персональных данных, обрабатываемых в МБОУ «Школа № 70», родителям (законным представителям) обучающихся необходимо заполнить листы согласия на обработку персональных данных (далее – сокращенно – ПДн).
Сейчас в нашей школе собираются, хранятся и обрабатываются ПДн Ваших детей. Поэтому администрации школы необходимо сделать все, чтобы было соблюдено действующее законодательство в области защиты персональных данных.
Для этого школа должна получить от родителей каждого ученика согласие на обработку или передачу его персональных данных.
Информация о ребенке и его законных представителях в образовательном учреждении используется в образовательном и воспитательном процессах. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении медосмотра), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в Управление образования и молодежной политики города Рязани (статистические отчетность по численности и успеваемости, организация и проведение Г(И)А в 9 и ЕГЭ в 11 классах, при проведении конкурсов и олимпиад и др).
Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося.
В соответствии со ст.9 от 27 июля 2006 г. № 152-ФЗ “О персональных данных” письменное согласие должно включать в себя:
- 1) фамилию, имя, отчество, номер основного документа (паспорта), удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- 2) цель обработки персональных данных;
- 3) перечень персональных данных, на обработку которых дается согласие субъекта ПДн;
- 4) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн.
Например, в соответствии с п. 38 Порядка проведения Единого Государственного Экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям. Если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках при распределении аудиторий и не будут внесены в Российскую базу данных выпускников, что приведет к невозможности участия в сдачи ЕГЭ (получение бланков, контрольно измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов и т.д.
- 5) срок, в течение которого действует согласие, а также порядок его отзыва.
Настоятельно просим дать своё согласие на обработку указанных в согласии ПДн.
Мы гарантируем, что такое согласие будет храниться в школе, его содержание будет недоступно другим, действие согласия будет распространяться только на нашу школу. Любой другой оператор ПДн должен будет получать от Вас разрешение на обработку ПДн Ваших детей.
Просим отнестись с пониманием.
С уважением, администрация школы
Правила обработки персональной информаци
Приложение № 1
к Распоряжению Главы местной администрации
внутригородского муниципального образования
Санкт-Петербурга муниципальный округ Красненькая речка
от 20 декабря 2016 года № 162
Правила обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с действующим законодательством в области защиты персональных данных, в том числе Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящие Правила определяют порядок и условия обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка (далее по тексту – местная администрация) и призваны обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Обработка персональных данных в местной администрации осуществляется в целях реализации полномочий по решению вопросов местного значения и полномочий, переданных органам местного самоуправления муниципальное образование муниципальный округ Красненькая речка федеральными законами и законами Санкт-Петербурга.
1.4. Обработка персональных данных в местной администрации основывается на следующих принципах:
– законность целей и способов обработки персональных данных и добросовестность;
– соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
– соответствие объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;
– достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к заявленным оператором целям.
1.5. Понятия, используемые в настоящих Правилах, применяются в значениях, установленных действующим законодательством в области защиты персональных данных.
1.5.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, доходы, другая информация.
1.5.2. Персональные данные муниципального служащего, далее «работника» – информация, необходимая работодателю в связи с трудовыми соглашениями и касающаяся конкретного работника.
1.5.3. Обработка персональных данных – получение, хранение, комбинирование, передача или любое другое использование персональных данных.
2. Условия обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
2.1. Муниципальные служащие местной администрации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия гражданина, если иное не предусмотрено федеральным законом.
2.2. Обработка персональных данных в местной администрации осуществляется с согласия гражданина на обработку персональных данных.
2.3. Гражданин принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных может быть дано гражданином или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае получения согласия на обработку персональных данных от представителя гражданина, полномочия данного представителя на дачу согласия от имени гражданина могут подлежать проверке.
2.4. Согласие на обработку персональных данных может быть отозвано гражданином или его представителем при условии наличия у него соответствующего полномочия. В случае отзыва согласия на обработку персональных данных местная администрация вправе продолжить обработку персональных данных без согласия гражданина при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27. 07.2006 № 152-ФЗ «О персональных данных».
2.5. В целях обеспечения защиты своих персональных данных гражданин вправе:
а) получать информацию, касающуюся обработки его персональных данных;
б) требовать от местной администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) принимать предусмотренные законом меры по защите своих прав.
2.6. Сведения, указанные в пункте 2.5. настоящих Правил, предоставляются гражданину или его представителю местной администрацией при обращении либо при получении запроса гражданина или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность гражданина или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие факт обработки персональных данных местной администрацией, подпись гражданина или его представителя.
Запрос, поступивший в местную администрацию, рассматривается в течение 30 дней со дня его регистрации.
Состав запрашиваемой информации, основания ограничения права гражданина на доступ к его персональным данным, условия направления гражданином или его представителем повторного запроса и основания для отказа в рассмотрении повторного запроса определяются в соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Организация обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
3.1. Персональные данные при их обработке в местной администрации должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
3.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.3. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на местную администрацию полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес местной администрации, фамилию, имя, отчество и адрес гражданина, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором гражданин может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы гражданин имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных лиц;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 3.6. Правила, предусмотренные подпунктами 3.4. и 3.5. настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
3.7. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4. Меры по обеспечению безопасности персональных данных при их обработке
в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
4. 1. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень муниципальных служащих местной администрации, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
4.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Приложение № 1
к Правилам обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
сотрудника местной администрации,
непосредственно осуществляющего обработку персональных данных,
о неразглашении информации, содержащей персональные данные, и о прекращении обработки персональных данных в случае расторжения служебного контракта (трудового договора)
Я,_______________________________________________________________________________________
________________________________________________________________________________________,
проживающий (ая) по адресу:_______________________________________________________________
паспорт серия _______ № _____________, выданный (кем и когда) ______________________________
________________________________________________________________________________________
предупрежден(а) о том, что на период исполнения мною должностных обязанностей
________________________________________________________________________________________,
(должность)
предусматривающих работу с персональными данными сотрудников местной администрации и иных субъектов персональных данных, мне будет предоставлен доступ к указанной информации.
Настоящим добровольно принимаю на себя обязательства:
– не передавать (в любом виде) и не разглашать третьим лицам и сотрудникам местной администрации, не имеющим на это право в силу выполняемых ими должностных обязанностей, информацию, содержащую персональные данные сотрудников (граждан) (за исключением собственных данных), которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей;
– в случае попытки третьих лиц или сотрудниками местной администрации, не имеющих на это право, получить от меня информацию, содержащую персональные данные, немедленно сообщать об этом факте своему непосредственному или (в случае отсутствия непосредственного) вышестоящему руководителю;
– не использовать информацию, содержащую персональные данные с целью получения выгоды и в иных коммерческих целях;
– выполнять требования законодательства Российской Федерации, регламентирующие вопросы защиты интересов субъектов персональных данных, порядок обработки и защиты персональных данных;
– после прекращения моих прав на допуск к информации, содержащей персональные данные (переход на должность, не предусматривающую доступ к персональным данным, прекращение служебного контракта, изменение должностных обязанностей и др. ), не обрабатывать, не разглашать и не передавать третьим лицам и неуполномоченным на это сотрудникам местной администрации, известную мне информацию, содержащую персональные данные, а также передать руководителю структурного подразделения (своему руководителю) или иному сотруднику по указанию руководителя структурного подразделения (своего руководителя) все носители, содержащие персональные данные, которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей в местной администрации;
– об утрате или недостаче документов или иных носителей, содержащих персональные данные, ключей от сейфов (металлических шкафов) и о других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений, немедленно сообщить своему руководителю.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии
с действующим законодательством Российской Федерации.
«___» ___________ _____ г.
_______________________ /______________________/
Приложение № 2
к Правилам обработки персональных данных в местной администрации внутригородского муниципального образования Санкт-Петербурга муниципальный округ Красненькая речка
Утверждаю
Глава местной администрации
внутригородского муниципального образования
Санкт-Петербурга муниципальный округ
Красненькая речка
______________________
«___»__________20__ г.
А К Т
об уничтожении носителей,
содержащих персональные данные
Санкт – Петербург «___»____________20__г.
Настоящий Акт составлен в том, что комиссией в составе:
________________________________________________________________________________________
(должность)
________________________________________________________________________________________
(ФИО)
________________________________________________________________________________________
(должность)
________________________________________________________________________________________
(ФИО)
________________________________________________________________________________________
(должность)
________________________________________________________________________________________
(ФИО)
произведено уничтожение носителей, содержащих персональные данные сотрудников (иных субъектов персональных данных).
Уничтожение произведено путем _________________________________________________________
________________________________________________________________________________________
Опись носителей: №, _____________________________________________________________________
(наименование)
Количество листов: _______________________________________________________________________
________________________________________________________________________________________
(ФИО, подпись)
«___»____________20__г.
(дата)
________________________________________________________________________________________
(ФИО, подпись)
«___»____________20__г.
(дата)
________________________________________________________________________________________
(ФИО, подпись)
«___»____________20__г.
(дата)
Согласие на обработку персональных данных
Политика конфиденциальности персональных данных ООО «ТерраЛинк»
1.
Общие положения.1.1. Настоящая Политика конфиденциальности персональных данных (далее – Политика) действует в отношении всех персональных данных, которую компания ООО «ТерраЛинк», ОГРН 1027700516117, ИНН 7729139042 (далее – Компания), может получить от пользователя (лица, заполнившего форму обратной связи, использующего другие сервисы официальных сайтов www.terralink.ru, www.terraid.ru, www.idcards.ru, www.idcards.kz, www.terraportal.pro, террапортал.рф, one-q.ru, www.purchase2pay.ru, www.projectbi.ru, xde.terralink.ru, 2fa.terralink.ru, ecm.terralink.ru, www.mediastards.ru, www.revolabs.ru, www.rightfax.pro, shop.terralink.ru, suprema.terralink.ru suprema.kz (далее – Сайт и/или Сайты)), в частности в ходе: отправки отзывов или вопросов, заказа услуг, участия в рекламных и/или маркетинговых кампаниях или акциях и/или ином взаимодействии (далее – Услуги).
1.2. Заполняя форму обратной связи и нажимая кнопку «Согласен/на», расположенную на странице Сайта, на которой размещена форма обратной связи, а равно указывая свои персональные данные при использовании других сервисов Сайта, пользователь выражает согласие с настоящей Политикой и указанными в ней условиями обработки и передачи его персональных данных. Согласие Пользователя на предоставление, обработку и передачу его Персональных данных Компании в соответствии с Политикой является полным и безусловным.
1.3. Посетителям Сайта следует воздержаться от заполнения формы и/или от использования других сервисов Сайта в случае несогласия (полного или частичного) с Политикой, а равно несогласия предоставить персональные данные.
1.4. Согласие, даваемое пользователем, включает в себя согласие на сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, занесение в базы данных (в том числе электронные) Компании, передачу внутри Компании другим отделам и подразделениям или поставщику услуг, обязующегося выполнять условия договора о защите персональных данных, в целях рассылки информационных материалов и/или в рекламных целях (в том числе рассылку приглашений на мероприятия, проводимые/организованные Компанией), трансграничную передачу, блокирование, обезличивание, уничтожение персональных данных.
1.5. Согласие, даваемое пользователем, распространяется на следующие персональные данные: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон.
1.6. Срок действия согласия пользователя является неограниченным, однако, пользователь вправе в любой момент отозвать настоящее согласие путём направления письменного уведомления на адрес электронной почты: [email protected], с пометкой «отзыв согласия на обработку персональных данных».
2. Персональные данные пользователей, которые получает и обрабатывает Компания.
2.1. В рамках настоящей Политики под персональными данными пользователя понимаются персональные данные, которые пользователь предоставляет о себе самостоятельно при заполнении формы обратной связи на Сайте, при использовании других сервисов Сайта, при регистрации (создании учётной записи) на Сайте или в процессе использования услуг, предоставляемых Компанией. Соответствующая информация явно обозначена, к ней, в частности отнесены: фамилия, имя, отчество, адрес электронной почты, должность, наименование организации, в которой работает пользователь, контактный телефон. Иная информация предоставляется пользователем на его усмотрение.
2.2. Компания исходит из того, что пользователь представляет достоверные персональные данные, а также, что пользователь имеет право предоставить персональные данные.
3. 1С Битрикс
3.1. Компания использует средство 1С Битрикс для сбора сведений об использовании Сайта, таких как частота посещения Сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный Сайт. 1С Битрикс собирает только IP-адреса, назначенные пользователю в день посещения данного Сайта, но не имя или другие идентификационные сведения.
3.2. 1С Битрикс размещает постоянный cookie-файл в веб-браузере пользователя для идентификации в качестве уникального пользователя при следующем посещении данного Сайта. Этот cookie-файл не может использоваться никем, кроме 1С Битрикс. Сведения, собранные с помощью cookie-файла, будут храниться на серверах, находящихся в Российской Федерации.
3.3. Компания использует сведения, полученные через 1С Битрикс, только для обработки и хранения персональных данных.
4. Цели обработки персональной информации пользователей.
4.1. Компания обрабатывает только те персональные данные, которые необходимы для оказания услуг.
4.2. Персональную информацию пользователя Компании может использовать в следующих целях:
4.2.1. Идентификация стороны в рамках оказания услуги.
4.2.2. Рассылка рекламных и/или маркетинговых материалов Компании, рассылка приглашений на мероприятия, конференции, выставки, проводимые и/или организуемые Компанией, проведение телемаркетинговых компаний.
4.2.3. Проведение статистических и иных исследований, на основе обезличенных данных.
5.
Передача персональных данных пользователя третьим лицам.5.1. В отношении персональных данных пользователя сохраняется ее конфиденциальность, кроме случаев обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен пользователем либо по его просьбе.
5.2. Компания вправе передать персональную информацию пользователя третьим лицам в следующих случаях:
5.2.1. Пользователь предоставил свое согласие на такие действия.
5.2.2. Передача персональных данных организациям, которые оказывают услуги Компании по рассылке рекламных и/или маркетинговых материалов, организации и проведению мероприятий, конференций, выставок, телемаркетингу, обзвону потенциальных клиентов Компании.
5.2.2. Передача необходима для достижения целей, осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Компанию.
6. Меры, применяемые для защиты персональных данных пользователей.
Компания принимает необходимые и достаточные организационные и технические меры для защиты персональных данных пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными третьих лиц.
7. Права и обязанности пользователя.
7.1. Компания предпринимает разумные меры для поддержания точности и актуальности, имеющихся у Компании персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных, тем не менее, Пользователь несет ответственность за предоставление достоверных сведений, а также за обновление предоставленных данных в случае каких-либо изменений.
7.2. Пользователь может в любой момент изменить (обновить, дополнить, блокировать, уничтожить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности путем обращения в Компанию.
7.3. Пользователь вправе в любой момент отозвать согласие на обработку Компанией персональных данных путём направления письменного уведомления на электронный адрес: [email protected] с пометкой «отзыв согласия на обработку персональных данных», при этом отзыв пользователем согласия на обработку персональных данных влечёт за собой удаление учётной записи пользователя с Сайта и баз данных Компании, а также уничтожение записей, содержащих персональные данные, в системах обработки персональных данных Компании
7.4. Пользователь имеет право на получение информации, касающейся обработки его персональных данных Компанией.
Образец согласия на обработку персональных данных
Согласие на обработку персональных данных — официальный документ, позволяющий организациям работать с личной информацией гражданина. Он должен быть у любого юридического и физического лица, которое получает, использует, передает или хранит такие сведения. В статье — образец соглашения на обработку персональных данных и требования к его оформлению.
Что относят к личной информации граждан
Персданные и порядок обращения с ними регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. В соответствии с этим документом, личной информацией гражданина считаются любые сведения, относящиеся к нему. Какая именно это информация о человеке, в законе не раскрывается, но на практике подлежат защите:
- Ф.И.О.;
- дата и место рождения;
- адрес проживания и регистрации;
- семейный статус и имущественное положение;
- образование;
- национальность и политические взгляды;
- вероисповедание и состояние здоровья;
- прочая общая и специфичная информация, позволяющая идентифицировать гражданина.
Обычно все эти сведения человек сообщает сам. Пользователями такой информации становятся государственные органы, медицинские, образовательные и кредитные организации, коммерческие структуры. Все они считаются операторами персональных данных и должны иметь соглашение с гражданами об обработке их личных сведений.
Хотите заявить о себе на отраслевых конференциях? Мы подготовим для вас специальный выпуск с качественными журналистскими материалами – под ключ.
Какие действия с персданными требуют согласия граждан
В законе № 152-ФЗ указано, что согласие требуется при любом действии (или их совокупности), совершаемом с личной информацией:
- сбор и запись;
- систематизация и накопление;
- уточнение и использование;
- извлечение и обезличивание;
- передача и самой информации, и доступа к ней;
- блокирование и хранение;
- удаление и уничтожение сведений.
Неважно, как именно происходит обработка: на бумаге, с использованием средств автоматизации или без, онлайн-способом — оператор должен получить от каждого владельца согласие на обработку персональных данных (на сайте, например, вывесить). При этом деятельность работодателей с персданными — это отдельный случай, поскольку она дополнительно регулируется главой 14 ТК РФ. И они должны получать письменное заявление о согласии на обработку персональных данных от каждого работника — документ, который немного отличается от общего образца.
Образец формы согласия на обработку персональных данных
Чиновники не дают типовой формы разрешения на манипуляции с личной информацией граждан. Но само соглашение обязательно оформляется в письменном виде, и к нему есть ряд требований (ст. 9 закона № 152-ФЗ):
- основные критерии документа — конкретика, информированность и сознательность;
- среди обязательных реквизитов субъекта персданных — Ф.И.О., адрес, паспортные данные;
- об операторе следует сообщать наименование, адрес, по желанию — контакты;
- в согласии указывают:
- цель получения сведений и действия с ними;
- перечень данных, которые передает гражданин;
- наименования третьих лиц, которые могут получить доступ к сведениям;
- срок действия соглашения и способ его отзыва;
- личная подпись владельца персданных.
Для работодателей все эти требования также актуальны, но они должны руководствоваться еще нормами ТК РФ. В частности, им запрещено работать со специфичной личной информацией сотрудников, а все общие персональные данные разрешено использовать только для реализации функций работодателя (сдача отчетности, подготовка пакета документов при трудоустройстве, направление на обучение или оценку квалификации, пр.).
Образец заполнения согласия на обработку персональных данных от сотрудника выглядит так:
Бланк согласия на обработку персональных данных (2019)
Согласие и законная основа для обработки данных сотрудников – Группа конфиденциальности данных
5) Совместное использование и передача личных данных
В некоторых случаях данные сотрудников должны быть переданы внешним поставщикам услуг, например компаниям, которые предоставляют платформы облачных вычислений, Приложения HR-базы данных, управление льготами сотрудникам или расчет заработной платы.
В таких ситуациях предприятиям необходимо будет заключить новые договорные отношения с каждым поставщиком, чтобы обеспечить соблюдение практик обработки данных, соответствующих GDPR.
Необходимо выполнить следующие важные шаги:
Проводить регулярные аудиты потока личных данных между компанией и внешними поставщиками услуг, независимо от того, являются ли эти получатели контроллерами данных или обработчиками данных, и внедрять расширенные соглашения о совместном использовании данных.
Сопоставьте потоки персональных данных персонала с внешними поставщиками и обновите контракты на обслуживание, чтобы отразить любые новые требования.
Усилить любой формальный процесс подключения поставщиков, включив в него как классификацию конфиденциальности, так и проверки, чтобы гарантировать, что они могут на практике соблюдать свои обязательства по конфиденциальности и защите данных.Следует запланировать регулярные обзоры.
Передача данных
В настоящее время принципиальных изменений в передаче личных данных через границу в рамках GDPR нет. Тем не менее, компаниям, которые пересматривают свои механизмы обмена данными, как описано выше, было бы целесообразно рассмотреть вопрос о сохранении адекватности своих международных процедур передачи данных, таких как Стандартные договорные положения (SCC).
Особое внимание следует уделять:
Отображение международных потоков кадровых данных с учетом того, что простой доступ к информации за границей является «передачей» согласно GDPR.
Обеспечение того, чтобы всякий раз, когда личная информация передается за пределы Европейской экономической зоны (ЕЭЗ), каждый получатель, будь то организация группы или внешняя третья сторона, был охвачен действующим механизмом передачи данных.
Ведение базы данных о действиях по обработке получателей персональных данных и связанных с ними передачах данных, которая может быть раскрыта физическим лицам по запросу.
6) Утечки данных
Утечки данных были причиной катастрофических последствий для предприятий во всем мире задолго до появления GDPR.Но новые законы о защите данных резко увеличили цену, которую платят несчастные компании, когда происходит такое событие.
Компании теперь должны развертывать надежную защиту от потери данных и реализовывать планы действий для быстрого обнаружения, карантина, смягчения и реагирования на нарушения безопасности в соответствии с официальной политикой конфиденциальности и защиты данных, а также оперативно сообщать о таких инцидентах в свои региональные органы. регулятор конфиденциальности данных в течение 72 часов.
Поэтому жизненно важно, чтобы персонал отдела кадров был полностью осведомлен о том, что термин «утечка данных» не ограничивается злонамеренной кибератакой или неправильным размещением бумажных файлов персонала.Нарушения безопасности часто могут быть вызваны действиями невиновных сотрудников, например: пересылка электронного письма, содержащего конфиденциальные личные данные.
Все чаще утечки данных происходят из-за «фишингового мошенничества», когда киберпреступники маскируются под надежное физическое лицо, организацию или другое уважаемое лицо. Их основная цель – обманом заставить свою цель раскрыть конфиденциальную информацию, такую как учетные данные для входа, данные банковского счета или кредитной карты, а также личную информацию.
К сожалению, утечки данных в нашем подключенном мире неизбежны.Однако, по крайней мере, можно снизить риск утечки данных, выполнив следующие действия:
Работайте с ИТ-персоналом, чтобы реализовать четкую (и хорошо отрепетированную) процедуру нарушения безопасности. Это может помочь быстро предотвратить утечку данных и сообщить об инциденте в местный регулирующий орган в течение требуемых 72 часов.
Убедитесь, что кадровые системы и функции адекватно охвачены соответствующими техническими и организационными мерами безопасности.
Примите политику служебной информации для доступа к определенным репозиториям данных. Применяйте надежное шифрование данных для всех данных в движении.
Предоставлять регулярные инструкции и обучение для всех сотрудников, которые управляют личными данными.
Периодически тестируйте и переоценивайте меры безопасности, так же как и пожарные учения, чтобы проверить способность компании реагировать на различные сценарии.
7) Будьте ответственны
Невозможно оставаться пассивным, когда дело касается соблюдения GDPR.Каждый отдел в компании должен продемонстрировать соблюдение правил конфиденциальности и защиты данных – особенно отдел кадров, поскольку он имеет дело с личными – и потенциально конфиденциальными данными лиц, составляющих рабочую силу компании.
Персонал отдела кадров должен поэтому стремиться к высокому уровню соответствия GDPR путем внедрения строгих политик защиты данных и эффективного обучения, а также проводить регулярные аудиты и обзоры этих политик и учебных занятий.
В целом компании должны:
Вести полный учет всех операций по обработке данных в соответствии с правилами GDPR.
Внедрение / обновление политик и обучения сотрудников, включая все соответствующие ИТ-процедуры.
Обеспечьте, чтобы внутренние процедуры и средства контроля регулярно пересматривались и тестировались. Результаты и корректирующие меры должны быть полностью задокументированы.
ПРИМЕЧАНИЕ. Эта статья предназначена только для информационных целей и не является юридической или профессиональной консультацией.Data Privacy Group рекомендует компаниям воспользоваться услугами опытного специалиста по конфиденциальности / защите данных при подготовке к соблюдению законодательства о защите данных и конфиденциальности.
Льюис Силкин – Обработка персональных данных и согласие в контексте приема на работу – в чем заключаются проблемы?
Фон
До введения GDPR многие работодатели полагались на согласие сотрудников для обоснования всех своих действий по обработке данных (например, путем включения пункта в контактное лицо в начале отношений). Однако в соответствии с GDPR согласие должно быть активно и свободно предоставлено, чтобы быть действительной основой для обработки данных, и поэтому такой исторический подход проблематичен. GDPR включает в себя давнее мнение европейских регулирующих органов о том, что согласие на обработку в контексте договорных трудовых отношений не может считаться предоставленным свободно из-за явного дисбаланса между сторонами.
Решение греческого агентства по защите данных
После получения жалобы о том, что работодатель в Греции использовал согласие в качестве законного основания для обработки личных данных своих сотрудников, Греческое управление по защите данных (далее – «Управление») начало расследование.
В данном случае работодатель создал у сотрудников впечатление, что он обрабатывал их персональные данные на законном основании согласия, тогда как на самом деле он обрабатывал их данные на другом юридическом основании, о котором они не были проинформированы. Орган решил, что обработка фактически охватывалась другими законными основаниями для обработки данных (выполнение контракта, соблюдение юридического обязательства), и, поскольку на согласие можно полагаться только при отсутствии других законных оснований для обработки данных, Власти установили, что использование работодателем согласия в качестве основы для обработки было неуместным и нарушением принципа законности, справедливости и прозрачности.
Управление осуществило свои корректирующие полномочия в соответствии с GDPR, чтобы издать приказ, требующий от работодателя привести его обработку в соответствие с GDPR в течение трех месяцев. Однако Управление не сочло исправительное постановление достаточным, и поэтому оно также наложило штраф в размере 150 000 евро (примерно 0,36% от оборота работодателя).
Последствия
Это решение является важным напоминанием работодателям о том, что следует по возможности избегать использования согласия на обработку данных о сотрудниках в контексте занятости.Практически при любых обстоятельствах работодатели будут (и должны) иметь возможность найти другие законные основания для обработки данных о сотрудниках (например, выполнение контракта, стороной которого является субъект данных, юридическое обязательство или законный интерес).
В решении также подчеркивается, что работодатели и контролеры данных в целом должны демонстрировать ответственность в соблюдении требований по защите данных. Управление указало, что работодатель фактически передал свои обязательства по соблюдению своим сотрудникам, потребовав от них подписать заявление, в котором они признали, что обработка была связана с трудовыми отношениями и организацией работы и что обработка их данных была актуальной и уместной. в этом контексте.Работодатель также не смог сослаться на какую-либо внутреннюю документацию, чтобы продемонстрировать, как он пришел к выбору законной основы для обработки данных.
Наконец, это решение является напоминанием контролерам данных о проблемах при переключении между различными законными основаниями для обработки данных – переход от одного условия обработки к другому часто будет рассматриваться как несправедливый по отношению к отдельным лицам, а контроллеры данных могут нарушать свои обязательства по подотчетности и прозрачности, если они этого не делают.
Дополнительную информацию по вопросу согласия в соответствии с GDPR можно найти в нашем Кратком обзоре здесь.
работодателей США и GDPR: где мы сейчас?
Act Now Advisory 25 августа 2020 г. Мэтью Х. Бергер, Мишель Капецца, Одри ДэвисНесмотря на то, что 25 мая 2018 г. вступил в силу Общий регламент по защите данных (GDPR), его применение к работодателям в США продолжает развиваться и усложняться. У американских работодателей резидентов Европейского союза («ЕС») вновь возникли опасения по поводу передачи и защиты таких данных, а также соблюдения требований GDPR.Это особенно важно в отношении организации удаленной работы, отслеживания контактов COVID-19 и взаимодействия с глобальными системами управления персоналом. В свете этих событий нижеследующее представляет собой напоминание об общих вопросах, которые могут возникнуть у работодателей США в отношении соблюдения GDPR (в том, что касается их трудоустройства жителей ЕС), а также основных соображений, касающихся соблюдения новых требований. По мере того, как работодатели в США обновляют свои политики конфиденциальности и безопасности, следует уделять внимание вопросам соблюдения GDPR, если это применимо.
- Когда американская компания является «учреждением» в ЕС?
- Руководящие принципы Европейского совета по защите данных (EDPB) предусматривают, что GDPR применяется к обработке персональных данных в двух сценариях: (1) в связи с деятельностью предприятия в ЕС и (2) в отношении действия, нацеленные на лиц, находящихся на территории ЕС, связанные либо (а) с предложением товаров или услуг, либо (б) с мониторингом поведения.
- Для американских работодателей обратите внимание на пример компании, базирующейся в Нью-Йорке и не имеющей офисов в ЕС, которая все еще может считаться учреждением в ЕС. , если компания имеет «эффективное и реальное осуществление деятельности посредством стабильных договоренностей» в рамках ЕС. Действительно, если у нью-йоркской компании есть филиал в Париже, этот филиал можно рассматривать как учреждение в ЕС. Кроме того, если кадровые данные парижского филиала обрабатываются из нью-йоркского офиса, GDPR применяется просто потому, что обрабатываемые данные относятся к лицам, находящимся в ЕС.Даже присутствие одного сотрудника в ЕС может быть достаточным для создания предприятия в ЕС, если сотрудник действует с достаточной степенью стабильности.
- Есть ли у меня сотрудники, которых защищает GDPR?
- GDPR применяется к любому лицу, проживающему или находящемуся в стране ЕС. Соответственно, если американская компания подпадает под действие GDPR и направляет одного сотрудника на работу в Париж, личные данные этого сотрудника защищены GDPR. И наоборот, если гражданин ЕС покидает ЕС, чтобы работать на горнолыжном курорте в Денвере, это лицо больше не защищено GDPR. Однако, когда этот гражданин ЕС возвращается в ЕС, если он или она продолжает взаимодействовать с работодателем США по любым вопросам, связанным с кадрами или льготами, например, его или ее личные данные защищены GDPR.
- GDPR может также применяться к компаниям, не зарегистрированным в ЕС. В этом контексте мониторинг поведения сотрудников (например, когда деятельность включает систематическое и целенаправленное нацеливание на жителей ЕС) является деятельностью, которая, скорее всего, подвергнет работодателя требованиям GDPR.
- В Руководстве EDPB приводятся примеры действий, охватываемых термином «мониторинг», включая отслеживание в режиме онлайн, видеонаблюдение с использованием систем видеонаблюдения и отслеживание местоположения.
- Обрабатывает или контролирует ли моя компания личные данные в соответствии с GDPR?
- Компании подпадают под действие GDPR, если они обрабатывают или контролируют данные . Примечательно, что на контроллеров данных возлагается больше обязательств, чем на обработчиков данных.Контроллеры данных – это люди или компании, которые определяют цели, для которых и как обрабатываются личные данные. Обработчики данных – это люди или компании, которые обрабатывают персональные данные от имени контроллера данных.
- Например, производитель автомобилей может собирать личные данные сотрудника, чтобы сшить для нее униформу. Компания может передать процесс на аутсорсинг и поручить вторую компанию изготовить униформу. В этом сценарии производитель автомобилей является контроллером, а поставщик – процессором данных.Более простой пример – компания, хранящая данные на стороннем сервере. В этом сценарии компания будет контроллером, а третье лицо – процессором.
- Какие виды обработки кадровых данных подпадают под GDPR?
- Следующие примеры действий по обработке кадровых данных подпадают под действие GDPR:
- Обработка кадровых данных, выполняемая компанией из ЕС или дочерней / аффилированной компанией американской компании, расположенной в стране ЕС с хотя бы одним резидентом ЕС. сотрудник, который регулярно ведет бизнес на территории ЕС;
- Обработка данных HR от имени компании из ЕС или U.S. дочерняя / аффилированная компания, расположенная в стране ЕС, которая осуществляется сторонним поставщиком услуг, расположенным в Орегоне;
- HR обработка данных, происходящих из ЕС или о резидентах ЕС, независимо от того, где происходит обработка;
- Обработка кадровых данных, выполняемая нью-йоркской компанией, которая заключает договор с торговым представителем, который ведет реальный и эффективный бизнес в Италии;
- Обработка данных, выполняемая техасской компанией, которая отслеживает электронную почту, использование Интернета и / или социальные сети сотрудников своей дочерней компании в Германии;
- Обработка данных, выполняемая компанией из Северной Каролины, которая отслеживает данные о местоположении сотрудников своей дочерней компании в Дании с помощью GPS; и
- Обработка данных, выполняемая компанией из Огайо, которая набирает соискателей из Франции, если процесс найма включает мониторинг поведения (например,g. , учетные записи в социальных сетях) и принимает во внимание такое поведение при принятии решения о предложении работы.
- Следующие примеры действий по обработке кадровых данных подпадают под действие GDPR:
- Что считается конфиденциальными личными данными и как моя компания должна с ними обращаться?
- «Персональные данные» – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Человека можно идентифицировать по такой информации, как имя, идентификационный номер, данные о местоположении, сетевой идентификатор или другие факторы, специфичные для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого человека.Сюда могут входить IP-адреса, строки cookie, сообщения в социальных сетях, онлайн-контакты и идентификаторы мобильных устройств.
- Следующие персональные данные считаются конфиденциальными и, следовательно, подлежат особым условиям обработки:
- персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения;
- профсоюзное членство;
- генетические данные или биометрические данные, обрабатываемые исключительно для идентификации человека;
- медицинских данных; и
- данные о сексуальной активности или сексуальной ориентации человека.
- Конфиденциальные личные данные должны храниться отдельно в безопасном месте.
- Обработка конфиденциальных персональных данных в целом запрещена. Однако могут применяться определенные исключения. Помимо необходимости наличия правовой основы для обработки конфиденциальных персональных данных, должно применяться одно из исключений, перечисленных в статье 9 (2).
- Что делать, если сотрудник является резидентом Калифорнии (с защитой в соответствии с Законом Калифорнии о конфиденциальности потребителей («CCPA»)) и решает переехать в страну ЕС на три года? Применяются ли меры защиты CCPA и GDPR?
В настоящее время CCPA имеет ограниченное применение в отношении данных о сотрудниках, за исключением определенных требований к уведомлению.В Калифорнии существует проект избирательного бюллетеня для продления срока действия исключения с 1 января 2021 года до 2023 года. Поэтому важно учитывать, что, если сотрудник больше не является жителем Калифорнии, его или ее личная информация больше не будет быть защищены CCPA. Однако, будет ли применяться CCPA, зависит от характера переезда. Если переезд считается «временным» (например, менее 546 дней по трудовому договору), это лицо все равно будет подпадать под действие закона CCPA.Кроме того, защита GDPR будет применяться, пока сотрудник находится в ЕС.
- Что, если работодатель из США загружает данные в свою кадровую систему в Соединенных Штатах и передает их в ЕС – материнской компании или дочерней компании – или данные перемещаются в облаке?
- Работодатели в США, которые обычно отправляют и получают кадровые данные дочерней компании в ЕС, потенциально могут передавать или обрабатывать кадровые данные, защищенные GDPR. Следовательно, компании, передающие такие данные, должны убедиться, что сами переводы соответствуют GDPR.Если данные полностью содержат информацию о лицах, проживающих в США, эти данные не будут подлежать защите GDPR, даже если они обрабатываются в ЕС.
- Ранее ЕС-США. Privacy Shield предоставил компаниям в Соединенных Штатах и ЕС механизм, с помощью которого они могли соблюдать GDPR при передаче личных данных из ЕС и Швейцарии в США. Однако в июле 2020 года Европейский суд отменил программу Privacy Shield после того, как обнаружил, что U.Законы о национальной безопасности не защищают граждан ЕС от слежки со стороны правительства. Американские компании теперь должны будут подписать разработанные ЕС необоротные «стандартные договорные положения», которые в настоящее время используются в других странах. Для получения дополнительной информации см. «ECJ объявил недействительным Соглашение об обмене конфиденциальной информацией между ЕС и США».
- Нужна ли работодателю в США оценка воздействия на конфиденциальность данных («DIPA») или обновление других политик для учета GDPR в других политиках конфиденциальности / безопасности?
- Если работодатель будет собирать данные, подпадающие под действие GDPR, он должен выполнить DIPA и обновить любые политики и процедуры, связанные с обработкой данных.
- Например, EDPB заявила, что каждое государство-член ЕС должно требовать от работодателей выполнения DIPA при планировании систематического мониторинга сотрудников.
- Работодатели сначала должны проверить списки своих сотрудников и пенсионеров, чтобы определить, проживают ли какие-либо сотрудники на территории ЕС, что потребует более тщательной проверки.
- Работодатели также должны пересматривать и при необходимости вносить изменения в соответствии с GDPR:
- услуги стороннего поставщика, чтобы определить, где передаются личные данные,
- уведомления о конфиденциальности,
- процессы защиты данных и уведомления о нарушениях, а
- обучение конфиденциальности.
- Должен ли работодатель в США беспокоиться о требованиях GDPR, если он получает согласие сотрудников на обработку их личных данных?
- Как правило, GDPR требует, чтобы субъекты данных дали согласие на обработку их персональных данных для какой-либо конкретной цели. В Соединенных Штатах большинство компаний получают аналогичное согласие с помощью положений о полном согласии в трудовых договорах или справочниках. Однако в соответствии с GDPR недостаточно получить согласие сотрудника.Управление Комиссара по информации Соединенного Королевства выпустило пояснительные инструкции, в которых отмечалось, что согласие неуместно в контексте работодателя и работника, поскольку согласие не может быть «дано свободно», когда существует «явный дисбаланс сил».
- Имея это в виду, компании должны определить законную основу для обработки персональных данных сотрудников. Законные основания включают выполнение трудового договора, соблюдение юридических обязательств и соблюдение законных интересов работодателя.Однако обратите внимание, что многие сотрудники в США действуют «по своему желанию» и не имеют трудового договора со своим работодателем. Основа трудового договора будет применяться к коллективным договорам.
- Компания должна доказать, что у нее есть законный интерес к обработке персональных данных, документируя, почему право компании на данные перевешивает права сотрудника на неприкосновенность частной жизни. Это включает в себя оценку воздействия на защиту данных.
- Кроме того, с практической точки зрения, поскольку положения о полном согласии, которые обычно содержатся в трудовых договорах, не соответствуют требованиям GDPR, рекомендуется удалить эти положения и вместо этого сослаться на правовые основы компании для обработки персональных данных.
- Каковы требования работодателя США к соглашению об оказании услуг третьей стороне, которая обрабатывает данные от его имени?
- Если работодатель в США будет собирать и обрабатывать данные, относящиеся к резидентам ЕС, работодатель (контролер данных) должен иметь письменный договор, в котором излагаются обязательства каждой стороны в соответствии с GDPR.
- Эти соглашения должны включать Соглашение о защите данных (DPA), в котором описывается, как данные будут обрабатываться и храниться.В качестве доказательства этого DPA может также потребоваться соглашение с деловым партнером, если обработка выполняется от имени группового плана медицинского обслуживания и обрабатываемые данные включают защищенную медицинскую информацию. При использовании поставщика облачных услуг DPA может также указать, что используемый центр обработки данных находится в ЕС.
- Типовые условия контракта GDPR и обязательные корпоративные правила также доступны в соответствии с руководством ЕС, которые могут быть включены в соглашение.
- Как может U.S. работодатель гарантирует, что он должным образом защищает эти данные в соответствии с требованиями GDPR, включая удаление этой информации?
- БЕЗОПАСНОСТЬ
- GDPR требует принятия соответствующих технических и организационных мер. Сюда входят анализ рисков, политики безопасности, а также физические и технические меры. При необходимости следует использовать такие меры, как псевдонимизация и шифрование. Если данные хранятся в ИТ-системе, доступ к этой системе должен быть ограничен, а параметры безопасности системы должны регулярно обновляться.
- Работодатели должны хранить данные о сотрудниках только столько времени, сколько необходимо, как правило, до тех пор, пока все юридические обязательства не будут выполнены после завершения трудовых отношений.
- ERASURE
- Во-первых, компании должны уведомить любую другую компанию, которой были раскрыты данные сотрудника.
- Удаление личных данных включает удаление такой информации из систем резервного копирования. Если полное удаление невозможно, личные данные, содержащиеся в системе резервного копирования, должны быть выведены из строя.«Работодатели должны обязаться навсегда стереть данные, если и когда это станет возможным.
- Запрос на удаление данных должен быть выполнен без неоправданной задержки и, по крайней мере, в течение одного месяца с момента получения запроса.
- Согласно GDPR, государства-члены ЕС имеют право принимать дополнительные и более строгие законы в отношении обработки персональных данных в контексте занятости. Эти отступления позволяют государствам-членам определенную свободу действий в отношении применения отдельных положений и, в частности, позволяют им вводить широкие отступления, касающиеся национальной безопасности, предотвращения преступлений и обеспечения исполнения гражданских исков, если такие отступления уважают сущность права человека на защиту данных. и являются необходимой и соразмерной мерой.
- БЕЗОПАСНОСТЬ
- Существуют ли безопасные гавани для работодателей в определенных отраслях (например, в финансовых учреждениях)?
Privacy Shield и его предшественник, Safe Harbor, были признаны недействительными, поэтому основные безопасные гавани были удалены. GDPR предоставляет некоторые конкретные исключения, которые должны рассматриваться в индивидуальном порядке и не применяются автоматически.
- Существуют ли особые процедуры уведомления о нарушениях?
Правила уведомления о нарушениях можно найти в статьях 33 и 34.В случае нарушения необходимо сообщить о нарушении президенту Управления по защите персональных данных в течение 72 часов с момента обнаружения нарушения. Этот отчет должен содержать описание характера нарушения и любых возможных последствий. В зависимости от обстоятельств также может потребоваться уведомление субъектов данных, чьи данные были нарушены.
- Каковы возможные штрафы за несоблюдение?
Штрафы за несоблюдение GDPR являются значительными, но различаются в зависимости от серьезности и намерения нарушения или истории несоблюдения компанией.Однако даже менее серьезные нарушения могут привести к штрафу в размере до 10 миллионов евро или 2 процента от общемирового годового дохода компании за предыдущий год, в зависимости от того, какая сумма больше. Более серьезные нарушения могут привести к двойному штрафу за менее серьезные нарушения.
Что работодателям США следует делать сейчас
Работодатели в США должны учитывать следующее, особенно в свете отслеживания контактов COVID-19 и удаленной работы:
- Признавая, что удаленная работа обычно увеличивает уязвимость данных компании, убедитесь, что ваша компания, если она еще не сделала этого, принимает процедуры защиты личных данных в контексте удаленной работы, и обновите DIPA, чтобы отразить такие изменения. .
- Поймите, что обучение может быть необходимо, чтобы сотрудники знали минимальные требования компании к безопасности для любых устройств и сетей, которые они используют. Предупредите сотрудников об увеличении уязвимостей в результате удаленной работы и убедитесь, что они «бдительны» в отношении любых потенциальных фишинговых атак, отправленных по электронной почте.
- Пересмотреть и обновить политику кибербезопасности компании. Структура кибербезопасности NIST предоставляет набор передовых практик.
- Убедитесь, что конфиденциальная информация, включая личные данные, зашифрована и что доступ к личным данным ограничен теми, кому это необходимо.Использование корпоративной VPN еще больше ограничивает доступ к личным данным.
- Пересматривайте и обновляйте соглашения об обслуживании, чтобы убедиться в соблюдении требований GDPR и включении защитных формулировок. Возможно, этот процесс уже начался. Как отмечалось выше, ЕС-США. Privacy Shield ранее предоставлял компаниям в США и ЕС механизм, с помощью которого они могли соблюдать GDPR при передаче персональных данных из ЕС и Швейцарии в США. Однако в июле 2020 года Европейский суд отменил программу Privacy Shield после того, как обнаружил, что U.Законы о национальной безопасности не защищают граждан ЕС от слежки со стороны правительства. Американские компании теперь должны будут подписать разработанные ЕС необоротные «стандартные договорные положения», которые в настоящее время используются в других странах.
- Убедитесь, что любые новые технологии (например, для отслеживания контактов), которые могут повлиять на конфиденциальность сотрудников, проходят оценку для доступа и авторизации перед сохранением данных о сотрудниках в реальном времени. Таким образом, если отслеживание контактов происходит в нерабочее время или если используются мобильные приложения, важно убедиться, что вы не собираете данные, которые не предназначены для сбора.Дополнительные сведения о COVID-19 и рисках кибербезопасности см. В разделе «Последствия для безопасности: вопросы конфиденциальности и безопасности для управления рисками соблюдения нормативных требований в условиях COVID-19, часть 4».
****
Для получения дополнительной информации об этом информационном сообщении, пожалуйста, обращайтесь:
Общий регламент по защите данных (GDPR)
Обработка персональных данных обычно запрещена, если это прямо не разрешено законом или если субъект данных не дал согласия на обработку. Согласие является одной из наиболее известных правовых основ для обработки персональных данных, но это лишь одна из шести оснований, упомянутых в Общем регламенте защиты данных (GDPR).К другим относятся: договор, юридические обязательства, жизненно важные интересы субъекта данных, общественный интерес и законный интерес, как указано в статье 6 (1) GDPR.
Основные требования для эффективности действующего законного согласия определены в статье 7 и подробно описаны в пункте 32 GDPR. Согласие должно быть добровольным, конкретным, информированным и недвусмысленным. Чтобы получить свободно данное согласие, оно должно быть дано на добровольной основе. Элемент «бесплатно» подразумевает реальный выбор субъектом данных.Любой элемент ненадлежащего давления или влияния, который может повлиять на результат такого выбора, делает согласие недействительным. При этом юридический текст учитывает определенный дисбаланс между контроллером и субъектом данных. Например, в отношениях между работодателем и сотрудником: сотрудник может беспокоиться, что его отказ дать согласие может иметь серьезные негативные последствия для его трудовых отношений, поэтому согласие может быть законным основанием для обработки только в нескольких исключительных обстоятельствах.Кроме того, применяется так называемый «запрет сцепления» или «запрет сцепления или связывания». Таким образом, выполнение контракта не может зависеть от согласия на обработку дополнительных персональных данных, которые не нужны для выполнения этого контракта.
Для того, чтобы согласие было информированным и конкретным, субъект данных должен быть как минимум уведомлен об идентичности контролера, о том, какие данные будут обрабатываться, как они будут использоваться и о цели операций обработки в качестве защиты от «расползания функций». .Субъект данных также должен быть проинформирован о своем праве отозвать согласие в любое время. Отзыв должен быть таким же простым, как и согласие. В соответствующих случаях контролер также должен информировать об использовании данных для автоматизированного принятия решений, возможных рисках передачи данных из-за отсутствия решения об адекватности или других соответствующих мер безопасности.
Согласие должно быть связано с одной или несколькими конкретными целями, которые затем должны быть подробно объяснены. Если согласие должно узаконить обработку особых категорий персональных данных, информация о субъекте данных должна прямо относиться к этому.
Всегда должно быть четкое различие между информацией, необходимой для получения информированного согласия, и информацией о других договорных вопросах.
И последнее, но не менее важное: согласие должно быть недвусмысленным, что означает необходимость либо заявления, либо четкого утвердительного действия. Согласие не может быть подразумеваемым и всегда должно быть дано посредством согласия, заявления или активного ходатайства, чтобы не возникло недопонимания, что субъект данных дал согласие на конкретную обработку. При этом не требуется формы согласия, даже если письменное согласие рекомендуется из-за подотчетности контролера.Поэтому его также можно подавать в электронном виде. В этом отношении согласие детей и подростков на услуги информационного общества является особым случаем. Для лиц младше 16 лет требуется дополнительное согласие или разрешение от лица, несущего родительскую ответственность. Возрастное ограничение регулируется оговоркой о гибкости. Государства-члены могут установить более низкий возраст национальным законодательством при условии, что этот возраст не ниже 13 лет. Когда предложение услуг явно не адресовано детям, оно освобождается от этого правила.Однако это не относится к предложениям, адресованным как детям, так и взрослым.
Как видите, согласие – не панацея, когда дело касается обработки персональных данных. Особенно с учетом того, что европейские органы по защите данных ясно дали понять, что «если контролер решит полагаться на согласие для любой части обработки, он должен быть готов уважать этот выбор и остановить эту часть обработки, если лицо отозвает согласие. ” Строго говоря, это означает, что контроллеру не разрешается переходить от согласия на законной основе к законному интересу после того, как субъект данных отзовет свое согласие.Это применимо, даже если изначально существовал законный законный интерес. Поэтому согласие всегда следует выбирать в качестве последнего варианта обработки личных данных.
Внешние ссылки
Органы власти
- Управление по защите данных Великобритании ► Руководство по согласию GDPR (ссылка)
- Data Protection Authority UK ► Согласие (ссылка)
- Управление по защите данных Остров Мэн ► Согласие (ссылка)
- Рабочая группа по защите данных, статья 29 ► Рабочий документ WP 259 – Руководство по согласию (Ссылка)
- Европейская комиссия ► Основания для обработки (ссылка)
- Европейская комиссия ► Когда действительно согласие? (Ссылка)
- Публикации ЕС ► Справочник по европейскому законодательству о защите данных – Согласие, стр. 111 (Ссылка)
Экспертный вклад
- Лукас Золейник ► Как: GDPR, согласие и обработка данных (ссылка)
- IAPP ► Руководство пользователя по получению согласия (ссылка)
- Тилбургский университет ► Согласие время от времени (Ссылка)
- CIPL ► Внедрение GDPR в отношении данных и согласия детей (ссылка)
- CIPL ► Рекомендации по обеспечению прозрачности, согласия и законного интереса в соответствии с GDPR (ссылка)
- Oxford University Press ► Комментарий к Общему регламенту ЕС по защите данных (GDPR) – Законность обработки, стр. 32 (Ссылка)
Работодатели, будьте осторожны: штраф в размере 150 000 евро для работодателя, полагающегося на согласие в качестве правовой основы для обработки личных данных сотрудников
Поделиться
понедельник, 26 августа 2019Греческое управление по защите данных (HDPA) недавно оштрафовало PWC Business Solutions SA на 150 000 евро и обязало компанию принять меры по исправлению положения после расследования, которое выявило нарушения компанией статьи 5 GDPR.
В ходе расследования выяснилось, что компания требовала от сотрудников согласия на обработку их персональных данных на работе. HDPA определило, что это не подходящее правовое основание для обработки персональных данных сотрудников, отметив, что:
«Согласие субъектов данных в контексте трудовых отношений не может рассматриваться как добровольно данное из-за явного дисбаланса между сторонами. ”
Распространенным заблуждением является то, что контроллеры данных всегда должны запрашивать согласие субъекта данных, прежде чем контроллер данных сможет обработать личные данные субъекта.Согласно GDPR, согласие является лишь одним из ряда правовых оснований для обработки. Если доступна другая основа для обработки, согласие не требуется. Если согласие не требуется (поскольку существует другая правовая основа для обработки), то согласия запрашивать не следует.
В деле PWC Business Solutions SA HDPA обнаружило, что выбор согласия в качестве правовой основы был неуместным и что другие основания в соответствии со статьей 6 были более подходящими, например, обработка была необходима для выполнения трудового договора (статья 6 (1) (b)) или обработка была необходима для соблюдения юридического обязательства, которому подчинялась компания (статья 6 (1) (c)).
HDPA определило, что компания нарушила свои обязательства по обеспечению прозрачности в соответствии со статьей 5 GDPR, создав ложное впечатление у сотрудников о том, что она обрабатывала их личные данные на законной основе согласия.
Помимо административного штрафа, HDPA дало компании 3 месяца на приведение операций по обработке персональных данных своих сотрудников в соответствие с положениями GDPR.
Этот случай выступает в качестве предупреждения для работодателей, которые еще не обновили свои трудовые договоры и политику, чтобы отразить правовую основу, отличную от согласия на обработку персональных данных сотрудников.
Если у вас есть какие-либо вопросы в отношении вышеизложенного или обязательств работодателей по обновлению контрактов и политик сотрудников в соответствии с GDPR, свяжитесь с Loughlin Deegan или членом группы защиты данных ByrneWallace.
Шведские руководящие принципы обработки данных сотрудников DPA: 5 основных советов по соблюдению требований
5 октября 2020 года были опубликованы последние шведские руководящие принципы обработки данных сотрудников DPA в соответствии с GDPR для компаний.
В частности, руководящие принципы Datainspektionen сосредоточены на том, как работодатели, как государственные, так и частные, должны обрабатывать личную информацию, которую они собирают от сотрудников, в соответствии с требованиями Общего регламента ЕС по защите данных.
Что такое личные данные?
Согласно GDPR, персональные данные – это любая информация, которая может быть связана с идентифицированным или идентифицируемым живым человеком.
Различные типы данных, которые могут быть собраны и облегчают идентификацию конкретного человека, также считаются личными данными в соответствии с Общим регламентом ЕС о защите данных.
Примеры включают;
- Имя
- Домашний адрес
- Адрес электронной почты
- Номер идентификационной карты
- Данные о местоположении (например, функция данных о местоположении смартфона)
- IP-адрес
- Идентификатор файла cookie
- Рекламный идентификатор вашего телефона
- Информация, хранящаяся в больнице или у врача, которая может быть использована для однозначной идентификации человека
- Биометрическая информация
- Сексуальные предпочтения
Что такое орган по защите данных (DPA)?
DPA – это независимый государственный орган, который через следственные и корректирующие органы контролирует соблюдение законов о защите данных, таких как GDPR.
В каждом государстве-члене ЕС есть DPA, в обязанности которого входит предоставление экспертных рекомендаций по вопросам, связанным с защитой данных, и рассмотрение жалоб, поданных на нарушения как GDPR, так и соответствующих национальных нормативных актов.
Что такое обработка данных в соответствии с GDPR?
В соответствии с GDPR, как вручную, так и автоматически, обработка данных включает в себя различные действия, выполняемые с личной информацией, например:
- Сбор
- Запись
- Организация
- Хранение
- Модификация
- Извлечение
- Раскрытие передачей
- Совместное использование
- Реструктуризация
- Стирание
- Уничтожение
Как таковые, примеры обработки личных данных на рабочем месте включать;
- Управление персоналом и заработной платой
- Уничтожение документов, содержащих личную информацию
- Использование камер наблюдения (CCTV)
- Доступ к базе данных контактов с личными данными
Какова важность шведских руководящих принципов обработки данных сотрудников DPA?
Согласно пресс-релизу шведского DPA, регулирующий орган отмечает, что личные данные важны для различных условий занятости, таких как управление регистрами заработной платы и системами отбора.
Тем не менее, Datainspektionen также признает, что обработка определенных категорий личной информации, такой как биометрические данные или данные о состоянии здоровья, вызывает обеспокоенность сотрудников в отношении конфиденциальности.
По этой причине важно найти разумное согласие между потребностью работодателя в обработке личных данных и правом сотрудников на неприкосновенность частной жизни.
Кроме того, согласие на обработку определенных видов личной информации в контексте сотрудников является уникальным, поскольку сотрудник находится в зависимых отношениях с работодателем.
Это означает, что согласие на обработку их данных дается при другом наборе обстоятельств по сравнению с другими контекстами.
Какие законы и правила применяют обработку данных о сотрудниках в Швеции?
Согласно шведским правилам обработки данных сотрудников DPA, личная информация, принадлежащая сотрудникам, подчиняется требованиям GDPR, когда она собирается и обрабатывается полностью, частично, автоматически или вручную.
Другие правила, которые могут применяться к обработке данных сотрудников, включают:
- Шведское трудовое право.
- Руководящие принципы и общие рекомендации Шведского управления по условиям труда
- Судебные решения.
- Коллективные договоры.
Кто отвечает за обработку данных о сотрудниках?
Работодатель несет ответственность и должен иметь возможность продемонстрировать, что обработка личных данных сотрудников осуществляется в соответствии с законодательством и в соответствии с GDPR.
Это означает, что шведские руководящие принципы обработки данных сотрудников DPA обязывают работодателя быть контролером данных личной информации сотрудников, поскольку он / она определяет, какой тип личной информации собирается и как она используется.
В случае, если вы решите использовать третью сторону, например поставщика услуг, для обработки данных, которые вы собираете в своей компании, вы остаетесь стороной, которая несет независимую ответственность за эту обработку.
Важно знать, что вам не нужно разрешение от Dataispektionen, шведского DPA, для обработки данных о сотрудниках, хотя есть исключения, когда дело доходит до;
- Персональные данные, собранные с помощью камер видеонаблюдения в определенных случаях
- Информация о преступлении
Нужен ли мне сотрудник по защите данных (DPO) для обработки данных сотрудников на рабочем месте?
Согласно новым шведским правилам обработки данных сотрудников DPA, вы можете назначить DPO, и в определенных обстоятельствах наличие DPO является обязательством в соответствии с требованиями обработки данных GDPR.
Роль DPO в вашей организации:
- Содействовать работодателю в соблюдении GDPR и Постановления о защите данных Швеции, предлагая консультации и проводя оценку воздействия на защиту данных (DPIA).
- Получать и отвечать на запросы от сотрудников относительно обработки их личной информации работодателем.
- Информировать сотрудников об их правах при обработке их личных данных.
Важно знать, что согласно шведским правилам обработки данных сотрудников DPA, вы должны сообщить своим сотрудникам, если вы назначаете DPO на рабочем месте.
Что требуют шведские правила обработки данных сотрудников DPA ?
Если вы обрабатываете личные данные, шведские правила обработки данных сотрудников DPA требуют, чтобы вы соблюдали GDPR. Правовые основы, признанные Datainspektionen достаточными для законной обработки данных о сотрудниках:
Согласие; вы должны получить согласие субъекта данных на обработку их данных. Однако шведские руководящие принципы обработки данных сотрудников DPA признают, что в некоторых случаях может быть неприемлемо или невозможно основывать обработку данных сотрудников на их согласии.В рекомендациях говорится, что вам всегда нужно учитывать, что вы можете основывать свою обработку на одном из других юридических оснований, прежде чем полагаться на согласие.
Договор; вы можете обрабатывать данные о сотрудниках, если субъект данных имеет договор или собирается согласовать договор с работодателем, который признан контролером данных.
Взвешивание процентов; В этом случае вы можете обрабатывать персональные данные без согласия субъекта данных, если ваши интересы превышают интересы субъекта данных и если обработка необходима для заявленной цели.
Юридическое обязательство; ваша обработка данных сотрудников является законной, если вы делаете это в соответствии с законами и постановлениями, которые требуют от вас обработки личной информации при выполнении определенных бизнес-функций.
Осуществление официальных полномочий или выполнение задач в общественных интересах; Если вам необходимо обрабатывать личные данные для выполнения определенных обязанностей в качестве органа или для выполнения задачи в интересах общественности, эта правовая база гарантирует, что ваша обработка соответствует GDPR.
Фундаментальный интерес; Эта правовая база позволяет вам обрабатывать данные сотрудников, если обработка основана на необходимости защиты субъекта данных, который не в состоянии дать согласие, например, если они бессознательны.
Важно отметить, что руководящие принципы обработки данных сотрудников шведского DPA соответствуют 6 правовым основам GDPR для обработки персональных данных.
Какие правовые основания могут применяться частными компаниями для соблюдения шведских правил обработки данных сотрудников DPA?
Datainspektionen разъясняет, что основными правовыми основаниями для компаний или предприятий, работающих в частном секторе, для обработки личной информации своих сотрудников являются:
- Согласие
- Договор
- Юридическое обязательство
- Взвешивание интересов
Какие правовые основы могут использовать публичные компании для соблюдения шведских правил обработки данных сотрудников DPA?
Для органов власти и других организаций в государственном секторе основными правовыми основаниями для обработки личной информации сотрудников являются;
- Юридическое обязательство
- Осуществление официальных полномочий или выполнение задачи в общественных интересах
- Договор
Важно отметить, что властям не разрешается использовать юридическое обоснование взвешивания интересов для выполнения своих обязанностей.
Как мне соблюдать шведские правила обработки данных сотрудников DPA;
Вам необходимо;
- Определите юридические основания перед обработкой данных сотрудников
- Задокументируйте свой выбор и информируйте субъектов данных
- Убедитесь, что цели, для которых вы обрабатываете данные сотрудников, связаны с правовой основой для этой конкретной обработки
- Убедитесь, что вы обрабатываете личные данные данные только тогда, когда это необходимо
- Всегда обеспечивайте соблюдение требований GDPR в отношении обработки данных.
Как насчет обработки конфиденциальной личной информации?
Согласно шведским правилам обработки данных сотрудников DPA, некоторые категории данных сотрудников считаются слишком конфиденциальными, поэтому их обработка по общему правилу запрещена.
В случаях, когда речь идет об этом типе личной информации, недостаточно использовать любую из вышеупомянутых правовых основ в качестве основания для ее обработки.
Безопасная конфиденциальность и соответствие шведским правилам обработки данных сотрудников DPA
Проверьте, соответствует ли ваш веб-сайт требованиям GDPR с помощью бесплатного аудита.
Мы планируем отправить вам бесплатный отчет об аудите GDPR в течение 24-48 часов. Мы изучим ваши баннеры cookie, политику конфиденциальности и технологии, которые используются на вашем сайте.
Закажите звонок сегодня и получите быструю “проверку” вашего веб-сайта, баннера согласия на использование файлов cookie или вашей политики в отношении файлов cookie от эксперта по конфиденциальности данных.
Вы также можете подписаться на бесплатную пробную версию нашего полного решения по соблюдению GDPR здесь.
Вас также могут заинтересовать;
Когда работодатели могут рассчитывать на согласие сотрудников на обработку своих данных в соответствии с GDPR Великобритании? | FAQs | Инструменты
Обстоятельства, при которых работодатели могут полагаться на согласие сотрудников в качестве правовой основы для обработки своих данных, чрезвычайно ограничены Общим регламентом Великобритании по защите данных (сохраненным из Регламента ЕС 2016/679 ЕС) (GDPR Великобритании).Это потому, что для того, чтобы согласие было действительным, оно должно быть «дано добровольно». Несбалансированность полномочий в трудовых отношениях означает, что это условие будет редко выполняться, когда работодатель запрашивает у сотрудника согласие на обработку его личных данных. Кроме того, сотрудники могут в любое время отозвать свое согласие, поэтому работодателям нецелесообразно использовать согласие в качестве основы для их обработки.
Работодатели должны полагаться на согласие только в том случае, если не применимо другое правовое основание для обработки (т. Е. Это не является необходимым для выполнения контракта, соблюдения юридических обязательств или законных интересов работодателя), и не будет никаких неблагоприятных последствий для работника. кто отказывается дать согласие.
Например, работодатель может пожелать опубликовать в своей внутренней сети фотографию сотрудника, принимающего участие в благотворительной акции, организованной работодателем. Это будет представлять собой обработку личных данных сотрудника. Работодатель может запросить у работника согласие на публикацию фотографии при том понимании, что, если они не согласны с этим, работодатель будет использовать другую фотографию, и работник не понесет никаких последствий.
Еще один пример того, где работодателю может быть целесообразно полагаться на согласие на обработку персональных данных, – это организация сетей сотрудников с целью содействия разнообразию персонала, например, сеть для сотрудников ЛГБТ или сеть для сотрудников с ограниченными возможностями.При условии, что сети работают на полностью добровольной основе, работодатель может полагаться на согласие в качестве основы для обработки данных сотрудников, которые хотят участвовать. Не должно быть никаких негативных последствий для сотрудников, которые решат не давать согласия на обработку их данных для этой цели. Согласие – это одно из условий, на которое работодатель может полагаться при обработке данных специальной категории, таких как информация о здоровье или сексуальной ориентации сотрудника.