Доступ к персональным данным для сотрудников за штатом

Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:

  • Для жителей Москвы и МО - +7 (499) 110-86-37
  • Санкт-Петербург и Лен. область - +7 (812) 426-14-07 Доб. 366

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде. Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля г. Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные.

Главная - Глава

Статья Хранение и использование персональных данных работников.

ТРУДОВОЙ КОДЕКС - Глава 14. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА

Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа. К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность персональные данные , за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ , персональные данные -. Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации. При поступлении на работу - это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка например, данные свидетельства о рождении , так и его родителей вплоть до места работы, занимаемой должности. При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания ФЗ Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных ФЗ Информационная система персональных данных ИСПДн — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств ФЗ Обработка персональных данных - это действия операции с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение обновление, изменение , использование, распространение в том числе передачу , обезличивание, блокирование, уничтожение персональных данных ФЗ Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Прежде всего, необходимо определить какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются. Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Итак, оператор формирует комиссию приказом руководителя организации , которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса.

В ходе классификации определяются:. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий.

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:. Далее необходимо перейти к обработке этих данных, но перед тем как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку закон тем самым предотвращает незаконный сбор и использование персональных данных :.

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:. Письменное согласие субъекта персональных данных должно включать:. Итак, оператор получил если это необходимо согласие на обработку персональных данных - персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ необходимо разработать если есть, доработать в соответствии с ФЗ положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных.

Положение по обеспечению безопасности персональных данных - это внутренний локальный документ организации. Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись.

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн , то есть перечень тех по должностям , кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений например, начальники отделов — и это также необходимо отразить в списке.

Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев.

Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены. Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:. Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос - обеспечение безопасности персональных данных при их обработке. Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:. Что-то можно сделать самим, а где-то лучше довериться специалистам.

Но защитить персональные данные необходимо, так или иначе. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Помимо ФЗ требования и рекомендации по обеспечению защиты персональных данных устанавливают:. Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, - их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и или услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации? Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы.

При этом для поликлиник, детских садов, аптек и т. Для крупных организаций таких как операторы связи, крупные банки и т. Требования для получения лицензии:. Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных СЗПДн состоит из следующих этапов:. Техническое обслуживание и сопровождение системы защиты информации.

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн.

Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, - Список лиц, допущенных к обработке ПДн перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей и Матрица доступа должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление.

Оба документа утверждаются руководителем. Частная модель угроз если ИСПДн несколько, то модель угроз разрабатывается на каждую из них — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:.

Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации. Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

Рекомендации инструкции по использованию программных и аппаратных средств защиты информации. Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или если ИСПДн достаточно велика структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица подразделения , ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами должностными инструкциями, регламентами.

Часто возникает заблуждение, что все используемое программное обеспечение ПО , должно быть сертифицировано, а сертификация стоит дорого и занимает много времени. Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:.

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты. Пункт 4. Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно — это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение системное, прикладное и специальное ПО и сертифицированные средства защиты информации и антивирусной защиты это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу.

Финальным этапом создания системы защиты ИСПДн должна стать аттестация декларирование соответствия - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия Заключения подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации.

Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия. Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Аттестация предусматривает комплексную проверку аттестационные испытания ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн. В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:. Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн.

После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн. При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению прекращению обработки ПДн, привлечению компании и или ее руководителя к административной или иным видам ответственности, а при определенных условиях — к приостановлению действия или аннулированию лицензий. Многие сейчас говорят о том, что сегодняшнее законодательство и нормативно-методические документы имеют много неточностей и в чем-то даже перегибов. Многие уповают на то, что в декабре года было принято решение о продлении сроков по исполнению требований ФЗ до января г.

А поэтому не стоит откладывать решение этой проблемы в долгий ящик и уже сейчас нужно принимать необходимые меры по обеспечению безопасности персональных данных. Статья предоставлена компанией " Комплексная защита информации ".

Новости Статьи Библиотека Форум Блог. Теперь, согласно ФЗ , персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу субъекту персональных данных , в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

И все эти данные, согласно нынешнему законодательству, подлежат защите. С чего начать защиту, и нужна ли она вообще? Что же необходимо сделать, чтобы защитить персональные данные?

Классификация информационной системы персональных данных Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. В ходе классификации определяются: категория обрабатываемых персональных данных; объем обрабатываемых персональных данных; тип информационной системы; структура информационной системы и местоположение ее технических средств; режимы обработки персональных данных; режимы разграничения прав доступа пользователей; наличие подключений к сетям общего пользования и или сетям международного информационного обмена.

Кроме того, в обязательном порядке к специальным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Письменное согласие субъекта персональных данных должно включать: фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; срок, в течение которого действует согласие, а также порядок его отзыва.

Ликбез по персональным данным для компаний, которые их обрабатывают

Акция месяца 8 88 При этом все должности, как занятые, так и вакантные, должны быть указаны в штатном расписании. Поэтому сотрудники, с которыми заключен трудовой договор в том числе и находящиеся в отпуске по уходу за ребенком , являются штатными. Таким образом, можно сделать вывод, что внештатными сотрудниками являются лица, с которыми заключен гражданско-правовой договор.

"Выведение за штат". Возможно ли?

Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа. К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность персональные данные , за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Однако закон дополнил его. Теперь, согласно ФЗ , персональные данные -. Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

Персональные данные сотрудников: обеспечение сохранности

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника. Статья Общие требования при обработке персональных данных работника и гарантии их защиты В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования: 1 обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; 2 при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами; 3 все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; 4 работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия; 5 работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами; в ред. Федерального закона от Хранение и использование персональных данных работников Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Персональные данные работника: за сохранность и защиту спрашивают строже.

Не заполнено обязательное поле Подтверждение пароля. Необходимо согласие на обработку персональных данных. Согласно ч. Причем этот сотрудник согласно ч. Например, секретарь или бухгалтер. Напомним, что согласно ст.

Реклама на этой странице. Закон о персональных данных, который вступил в силу 1 июля , касается практически любой компании, а сами данные являются желанной добычей злоумышленников.

Далеко не все компании уделяют должное внимание сохранности персональных данных своих сотрудников. Между тем санкции за такие нарушения скоро будут увеличены.

Статья 87. Хранение и использование персональных данных работников

Федеральным законом от С 1 июля года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от Максимальный размер штрафа для юридических лиц составит 75 тыс. Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Глава 14. Защита персональных данных работника

.

Как выполнить требования Федерального Закона № 152-ФЗ «О персональных данных»

.

.

.

ВИДЕО ПО ТЕМЕ: Закон 152-ФЗ "О персональных данных" - Что необходимо знать о поправках и как оформить сайт.
Понравилась статья? Поделиться с друзьями:
Комментариев: 5
  1. mainamic

    Другими словами, новичек не настолько наглый, а опытный начинает чувствовать вседозволенность, и идти на преступление.

  2. Рубен

    Тарас, прошу вас прокомментировать обязательность прохождения техосмотра легковых автомобилей принадлежавших юрлицам. Моего товарища оштрафовала за управлением таким транспортном. Полицейский сказал, раз авто зарегистрировано на юрлицо значит оно предназначено для получения прибыли. Следовательно обязано приходить технический осмотр. Пожалуйста дайте разъяснение по этому вопросу.

  3. Христофор

    Добавлю. Не приглашайте адвоката знакомого следователей или же из той же структуры. Лучше звать с другого города если города маленькие. Если дело ведёт ск, а адвокат говорит что всех знает там это не +, они договорятся без вас и посадят. Адвокаты тоже люди и если им рассказывать все обстоятельства дела они могут признать позицию следствия. Заставляйте писать жалобы и сразу проговаривайте с ним об этом. Часто адвокаты спускают на тормозах ошибки следствия так как они сами там работали и для них это рутина. Грамотный адвокат и чем раньше вы его найдёте может вас защитить, но атаковать должны вы. Суды не разбираются с делами и в 99 случаев поддерживают следствия, не доводите до суда. Если будут уговаривать дать признание и в особом порядке рассмотреть дело, чаще всего дадут то же наказание что и при общем рассмотрении, но лишат права обжаловать. Не общайтесь со следователем по телефону и все Контакты ведите через адвоката. Помните система всегда хочет вас убрать, только сильный человек сможет с ней справится и противостоять ей. Честных и правильных людей в тех системах нет.

  4. olablane

    И даже отсылка к свидетелям не помогает.

  5. Устин

    Какие риски и подводные камни? Должен я как предприниматель в приказе об изменении графика работы сотрудника указывать по каким дням он будет работать? Как расчитать есв и прочии налоги.

Добавить комментарий

Отправляя комментарий, вы даете согласие на сбор и обработку персональных данных