документы по персональным данным в школе 2021 с образцами для проверки
Проверка Роскомнадзора: как подготовиться работодателю
эксперт по трудовому законодательству, преподаватель по трудовому праву
Тема охраны персональных данных касается всех, кто работает с кадровыми документами. В этой статье разберем, какие требования установлены на законодательном уровне и что может стать объектом проверки Роскомнадзора
На какие документы опираться работодателю
Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.
В конце статьи есть шпаргалка
К владельцам персональных данных относятся:
Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.
Что проверяет Роскомнадзор
Постановка на учет
Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.
Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.
Как проверить, стоит ли организация на учете
Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.
Ответственный за организацию работы с персональными данными
В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.
О том, как работать с персональными данными, читайте в интервью Марии Финатовой
Внутренняя политика по персональным данным
Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.
Локальные нормативные акты
Это те документы, которые содержат конкретные правила и условия работы:
Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.
Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.
Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:
Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.
Хранение и уничтожение персональных данных
Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:
В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.
Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.
Информационные системы
Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.
Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.
Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.
В конце статьи есть шпаргалка
Жалобы о нарушении прав субъектов персональных данных
Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:
Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.
О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».
Вместо заключения
Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.
Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Перечень НПА для оператора персданных 630.2 КБ
Документы по обработке персональных данных
Документы по персональным данным для школы
На каком основании
Чтобы проинформировать всех заинтересованных, как школа обрабатывает персональные данные
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы зафиксировать порядок обработки и защиты персональных данных
Чтобы урегулировать уничтожение и обезличивание данных
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы назначить работника, ответственного за организацию обработки персональных данных
Часть 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы определить круг работников, которые обрабатывают персональные данные
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работников, что они обязаны не разглашать персональные данные
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Родитель вправе обратиться с запросом, чтобы узнать, какие данные ребенка и как обрабатывает школа
Статья 14 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Работник вправе в любое время отозвать согласие на обработку персональных данных
Часть 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работника, когда получаете его персональные данные от других лиц
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Абзац 2 части 1 статьи 88 ТК
Чтобы ответить, можете ли вы предоставить персональные данные третьему лицу или нет
Часть 1 статьи 12 Федерального закона от 02.05.2006 № 59-ФЗ
Чтобы учитывать передачу персональных данных сторонним лицам.
Журнал понадобится при проверках Роскомнадзора и в случае спора с работником
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Документы по персональным данным для школы
Документ
Зачем нужен
На каком основании
Чтобы проинформировать всех заинтересованных, как школа обрабатывает персональные данные
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы зафиксировать порядок обработки и защиты персональных данных
Чтобы урегулировать уничтожение и обезличивание данных
Пункт 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы назначить работника, ответственного за организацию обработки персональных данных
Часть 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы определить круг работников, которые обрабатывают персональные данные
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работников, что они обязаны не разглашать персональные данные
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Родитель вправе обратиться с запросом, чтобы узнать, какие данные ребенка и как обрабатывает школа
Статья 14 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Работник вправе в любое время отозвать согласие на обработку персональных данных
Часть 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ
Чтобы уведомить работника, когда получаете его персональные данные от других лиц
Чтобы получить согласие на обработку персональных данных гражданина
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Пункт 3 статьи 3, пункт 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ
Абзац 2 части 1 статьи 88 ТК
Чтобы ответить, можете ли вы предоставить персональные данные третьему лицу или нет
Часть 1 статьи 12 Федерального закона от 02.05.2006 № 59-ФЗ
Чтобы учитывать передачу персональных данных сторонним лицам.
Журнал понадобится при проверках Роскомнадзора и в случае спора с работником
Часть 1 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ
Документы по персональным данным необходимые в 2021 году
Как еще может называться данный документ:
Любой оператор, осуществляющий сбор персональных данных пользователей через сайт, обязан опубликовать на своем сайте Политику конфиденциальности.
Данный документ направлен на повышение прозрачности процессов обработки персональных данных и обычно включает в себя следующие разделы: общие положения, основания и условия обработки персональных данных, права пользователей при обработке их персональных данных, цели обработки персональных данных, виды обрабатываемых данных, информацию о передаче персональных данных третьим лицам, сведения об обеспечении безопасности персональных данных, а также информацию об операторе и обратную связь.
Как еще может называться данный документ:
Если из согласия на обработку упомянутых данных не следует, что лицо согласилось с их распространением, оператор обрабатывает данные без права распространения. Молчание или бездействие лица не считается согласием на обработку указанных данных. Требования к содержанию такого согласия устанавливает Роскомнадзор (ч. 9 ст. 9, ст. 23 ФЗ-152.
Как еще может называться данный документ:
Персональные данные пользователей любого сайта могут собираться и обрабатываться исключительно с их согласия. Согласие пользователя должно быть конкретным, информированным и сознательным, что влияет на структуру документа и способ его размещения.
Информированное согласие пользователя обычно включает в себя: сведения об операторе, цели обработки персональных данных, виды обрабатываемых данных, кому персональные данные могут передаваться. Текст информированного согласия размещается под формами сбора персональных данных на сайте вместе со ссылкой на Политику конфиденциальности.
Как еще может называться данный документ:
Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.
Зачем нужен документ:
Документ предназначен для предоставления субъекту персональных данных разъяснений юридических последствий его отказа предоставить персональные данные. В частности, обработка персональных данных необходима работодателю для заключения трудового договора.
Зачем нужен документ:
Данный документ устанавливает ряд обязанностей для работника оператора, имеющего доступ к персональным данным, в частности, обязанность по соблюдению режима конфиденциальности персональных данных.
Зачем нужен документ:
Данный документ закрепляет перечень типовых форм, используемых оператором, которые содержат персональные данные.
Как еще может называться данный документ:
Правила рассмотрения запросов субъектов персональных данных определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
Зачем нужен документ:
Правила осуществления внутреннего контроля устанавливают регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством о персональных данных и принятыми в соответствии с ним локальными актами оператора.
Как еще может называться данный документ:
Данный документ разрабатывается для выполнения обязанности, предусмотренной п. 1 ч. 2 ст. 19 Закона «О персональных данных» №152-ФЗ, по определению угроз безопасности персональных данных. Для подготовки данного документа следует руководствоваться следующими документами:
— Постановление Правительства РФ от 01.10.2012 г. №1119
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 14.02.2008 г.);
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК от 15.02.2008 г.)
Как еще может называться данный документ:
От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.
С такими лицами должен быть заключен договор поручения. В таком договоре должен содержаться перечень операций с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность соблюдать конфиденциальность персональных данных.
Зачем нужен документ:
Ответственный за обеспечение безопасности персональных данных назначается приказом руководителя в соответствии с пунктом 14 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.
Зачем нужен документ:
Данным приказом утверждаются места хранения документов, форм и иных материальных носителей, содержащих персональные данные. Ответственный за организацию обработки персональных данных проверяет сохранность материальных носителей и следит за поддержанием актуальности утверждённых мест хранения.
Зачем нужен документ:
Данным приказом утверждается перечень данных, обрабатываемых в информационных системах персональных данных оператора. В приказе перечисляются персональные данные, которые хранятся и обрабатываются оператором, а также устанавливается срок, по истечению которого те или иные данные из перечня подлежат удалению.
Зачем нужен документ:
Данным приказом утверждается список должностей работников, доступ которых к персональным данным необходим для выполнения их служебных обязанностей. Ответственный за организацию обработки персональных данных проводит обучение назначенных данным приказом работников.
Как еще может называться данный документ:
В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.
Как еще может называться данный документ:
Данным приказом устанавливаются границы контролируемой зоны информационных систем персональных данных. В периметре установленных границ ответственные за организацию обработки и за безопасность персональных данных осуществляют контроль за обработкой персональных данных и обеспечивают их безопасность.
Интервью с экспертом. Как работать с персональными данными работников в 2021 году
координатор кадрового и hr-направления в Контур.Школе
Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки
2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.
В конце статьи есть шпаргалка
Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?
Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.
С 1 марта 2021 года:
С 1 июля 2021 года:
Есть ли обязательный перечень документов по персональным данным для организаций?
Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.
Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.
Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Основные обязательные документы:
Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.
При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:
Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.
Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.
Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).
Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.
Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.
Каковы штрафы за нарушения обработки и распространения персональных данных?
Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.
Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.
Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:
За повторное нарушение ввели новые штрафы:
Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?
Что необходимо проверить:
Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?
Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:
В конце статьи есть шпаргалка
За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:
Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).
С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?
Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.
Алгоритм действий:
Какие самые частые нарушения допускают кадровики при работе с персональными данными?
Самые распространенные нарушения по персональным данным:
О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.
Какие согласия нужно взять с работника при приеме на работу?
Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).
Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?
У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.
Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.
На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.
Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.
Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?
Когда можно предоставлять персональные данные без согласия работника
Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.
Когда нельзя предоставлять персональные данные без согласия работника
На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.
Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.
Как действовать при запросе данных третьими лицами
Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.
Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?
Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.
Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?
Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.
Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?
Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:
Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.
Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.
Оптимально хранить оригиналы документов, необходимые работодателю:
Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.
Рекомендации кадровикам по работе с персональными данными работников
Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.
Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.
Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.
Шпаргалка
В шпаргалке собрана полезная информация из статьи:
Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ