Положение о персональных данных работников в 2022

Положение о персональных данных работников в 2022

Как утвердить новое Положение о защите персональных данных?

/img/plugs/sr/2.png

С 1 марта 2021 года в организации поменяли Положение о персональных данных. Что делать со старыми положениями? Как правильно составить приказ, что старое положение больше не действует, а вместо него новое? Кто должен ознакомиться с приказом?

ОТВЕТ:

Как и любой другой ЛНА, Положение о ПД (далее в т. ч. Положение), которое утратило силу, выбрасывать не нужно: оно хранится в организации постоянно, т. е. весь срок существования юридического лица. Такой срок хранения установлен для локальных актов (правила, регламенты, положения и т. п.)[1].

ЛНА вступает в силу со дня его принятия работодателем либо со дня, указанного в самом ЛНА, а прекращает свое действие в связи с его отменой другим ЛНА или в связи с истечением срока (ч. 7–8 ст. 12 ТК РФ).

То есть в самом Положении о ПД можно указать, с какой даты оно начинает действовать. Если такая дата не указана, ЛНА вступает в силу с даты его утверждения работодателем. Утвердить Положение о ПД можно двумя способами:

• личной подписью руководителя организации на грифе утверждения или

Второй способ позволяет не только зафиксировать факт утверждения ЛНА и дату его вступления в силу, но и закрепить какие-либо поручения должным лицам, связанные с вводом в действие нового Положения.

С приказом об утверждении нового Положения о ПД, если он был издан, нужно ознакомить только должностных лиц, которых коснулись распоряжения. Работников знакомят непосредственно с самим Положением.

Способ ознакомления зависит от возможностей организации и сложившейся культуры:

• текст ЛНА может быть размещен на сайте компании или в доступных местах для самостоятельного прочтения или

• каждого работника лично можно знакомить с вновь принятым Положением о ПД в отделе кадров или в структурном подразделении.

Независимо от способа ознакомления работники должны своей подписью подтвердить факт ознакомления с ЛНА. Возможны варианты:

• работник расписывается в листе ознакомления, который подшивается к Положению о ПД;

• ставит подпись в специальном журнале ознакомления с локальными актами;

• подписывает УКЭП или УНЭП[3] отправленный ему файл с текстом Положения о ПД;

• подтверждает факт ознакомления с помощью сообщения по электронной почте (если такой способ ознакомления с документами закреплен на локальном уровне).

специалист по кадрам

[1] Статья 8 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утв. Приказом Росархива от 20.12.2019 № 236.

[2] П. 4.4 Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 № 237).

[3] Усиленная квалифицированная электронная подпись или усиленная неквалифицированная электронная подпись.

С сентября 2021 года — новые требования к согласию на обработку персональных данных

С сентября 2021 года действуют скорректированные правила, касающиеся заполнения согласия на обработку персональных данных. Они будут работать до 1 сентября 2027 года.

С 1 марта 2021 года начали действовать изменения, внесенные в Закон от 27.07.2006 г. № 152-ФЗ. Данные корректировки коснулись вопроса предоставления доступа к информации субъекта через согласие на ее обработку. Нововведения были приняты для решения проблемы бесконтрольного использования персональных сведений граждан третьими лицами.

В обновлениях указывалось, что согласие на обработку персональных данных, которые разрешены для распространения, нужно оформлять отдельно. Если владелец данных молчит или бездействует, то это нельзя считать, как его согласие на обработку информации.

В согласии может быть установлен запрет на:

  • передачу информации неограниченному числу лиц;
  • обработку информации неограниченным числом лиц.

По требованию владельца данных их распространение должно быть сразу же приостановлено. Этот момент касается и ситуации, когда изначально субъект давал свое согласие.

В п. 9 ст. 9 Закона № 152-ФЗ указывается, что требования к информации, включаемой в согласие на обработку персональных данных, определяет Роскомнадзор. Данные требования он указал в Приказе от 24.02.2021 г. № 18 — документ вступил в законную силу с 1 сентября 2021 года.

Какие требования предъявляются к согласию на обработку персональных данных

Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:

  • ФИО;
  • контактные данные (телефон, электронная почта, адрес);
  • информация об операторе-компании;
  • информация об операторе-физлице;
  • информация об операторе-ИП;
  • информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
  • цель обработки сведений;
  • категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
  • срок действия согласия.

Если владелец персональных данных захочет, то можно заполнить и такую информацию:

  • категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
  • условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.

Бланк согласия на обработку персональных данных

Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.

Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.

После этого оператор может применять проверенную форму документа.

В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.

Кроме того, в шаблоне указываются и такие персональные данные:

Внимание! С 27 марта 2021 года значительно повысились штрафные санкции за нарушения при работе с персональными данными (Закон от 24.02.2021 г. № 19-ФЗ).

Изменения в законодательстве о персональных данных – 2021

С 15 ноября 2021 г. вступает в силу Закон о защите персональных данных, Указ о мерах по совершенствованию защиты персональных данных.

К персональным данным теперь можно отнести любую информацию о физлице. Примеры случаев обработки персональных данных:

— заказ товаров в интернет-магазине;

— сбор документов на детей в садик или школу;

— заключение договоров в банках, страховых компаниях;

— получение паспортных данных клиентов или создание базы данных сотрудников-контактов клиентов;

— список аффилированных лиц общества;

— регистрация клиентов на сайте организации.

Команда ileх традиционно готова прийти на помощь. Предлагаем материалы, которые помогут сориентироваться в изменениях в законодательстве о персональных данных и изучить в сжатые сроки необходимые для работы новшества.

— какие изменения произошли в законодательстве о персональных данных и что они означают для организаций;

— какие организации станут операторами персональных данных;

— когда нужно брать согласие на обработку персональных данных;

— что считается их обработкой;

— какие есть обязанности у оператора.

Среди материалов — чек-лист, который поможет проверить, готова ли организация к обеспечению защиты персональных данных с 15 ноября 2021 года:

— объем данных, которые организация вправе запрашивать (п. 5 ст. 4 Закона о защите персональных данных). Иными словами, нельзя запрашивать больше персональных данных, чем требуется для данной цели;

2) установить порядок доступа к персональным данным. Порядок доступа должен быть установлен в т.ч. к персональным данным, которые обрабатываются в информационном ресурсе (системе) (абз. 5 п. 3 ст. 17 Закона о защите персональных данных);

3) издать другие документы, если они необходимы для обеспечения защиты персональных данных (п. 2 ст. 17 Закона о защите персональных данных). Это могут быть, например, список сотрудников, которые имеют право доступа к персональным данным, журналы учета.

— работников, которые будут непосредственно обрабатывать персональные данные;

— других лиц, которые будут обрабатывать персональные данные. Например, это могут быть лица, с которыми заключены гражданско-правовые договоры.

Обратите внимание!
Рекомендуем ознакомлять работников и других лиц с НПА и внутренними документами под подпись. Это позволит избежать споров о том, ознакомлено ли данное лицо с необходимыми документами.

Обратите внимание!
Должностное лицо или работники такого подразделения должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации (п. 9 Положения о технической и криптографической защите информации, абз. 2 п. 4 Положения о порядке технической и криптографической защиты информации, распространение которой ограничено);

— наименование и местонахождение организации, которая получает согласие;

— цели обработки персональных данных;

— перечень персональных данных, на обработку которых дает согласие физлицо;

— срок, на который физлицо дает согласие;

— информацию об уполномоченных лицах, если такие лица будут обрабатывать полученные данные;

— перечень действий с персональными данными, на совершение которых физлицо дает согласие, общее описание обработки персональных данных, которые использует организация;

— другую информацию, которая нужна для обеспечения прозрачности процесса обработки персональных данных.

Обратите внимание!
Указанную информацию целесообразно включить в единый документ, который можно оперативно предоставить любому физлицу;

2) разъяснить физлицу простыми и понятными словами:

— его права, связанные с обработкой его персональных данных;

— механизм реализации этих прав;

— последствия дачи согласия на обработку его данных или отказа в даче согласия.

— цели обработки персональных данных;

— перечень действий, которые уполномоченное лицо будет совершать с персональными данными;

— обязанности по соблюдению конфиденциальности персональных данных;

Документы по персональным данным необходимые в 2021 году

Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.

Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.

Как еще может называться данный документ:

  • Согласие на распространение персональных данных

Согласие на распространение персональных данных оператор должен оформлять отдельно от иных согласий субъекта на обработку его персональных данных. Перед оформлением такого согласия оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой из категории, указанной в этом согласии. То есть оператор предоставляет субъекту список — какие именно его персональные данные будут обрабатываться (например, при приеме на работу будут обрабатываться паспортные данные, Ф.И.О., адрес и т.д.). Из списка субъект должен выбрать те данные, которые можно распространять.

Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.

Как еще может называться данный документ:

  • Согласие на обработку персональных данных
  • Согласие пользователя

Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.

Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.

Как еще может называться данный документ:

  • Правила обработки персональных данных

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

Зачем нужен документ:

Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.

Зачем нужен документ:

Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.

Зачем нужен документ:

Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.

Как еще может называться данный документ:

  • Правила рассмотрения запросов субъектов персональных данных или их представителей

Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.

Зачем нужен документ:

Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.

Как еще может называться данный документ:

  • Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:

— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)

Как еще может называться данный документ:

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.

Зачем нужен документ:

Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Зачем нужен документ:

Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.

Зачем нужен документ:

Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.

Зачем нужен документ:

Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.

Как еще может называться данный документ:

  • Перечень информационных систем персональных данных

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

Как еще может называться данный документ:

  • Приказ об определении границ контролируемой зоны и требований к ее безопасности

Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.

Читайте также  В каких случаях отказ от алиментов в счет квартиры не
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector