Будет интересно
Статьи

Организация персональных данных на предприятии

Организация персональных данных на предприятии

5 шагов по организации учета и хранения персональных данных


По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;

  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). 2 ст. 11 Закона о персональных данных.
  • Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу).

    Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч.
    Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

    1. в паспорте или ином документе, удостоверяющем личность;
    2. трудовой

    Организация защиты персональных данных работников

    Их можно получить только с согласия самого работника.

    Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности. Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию. Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки.

    При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах. Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

    Практика. Создание системы защиты персональных данных

    Обеспечьте защиту персональных данных в вашей компании Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации. Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

    В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО). В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

    Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз

    Защита персональных данных: пошаговая инструкция

    Подробное описание каждого пункта позволит работодателю обезопасить себя на случай возникновения спорных ситуаций и проверок.

    Совет от эксперта «Системы Кадры» Эксперт «Системы Кадры» расскажет, . Из статьи вы узнаете:

    1. каким способом обеспечить защиту сведений конфиденциального характера;
    2. как проводить обработку персданных с согласия и без согласия сотрудников;
    3. как обезличивать полученные сведения.
    4. как подготовить и передать уведомление об обработке в Роскомнадзор;

    Защиту персональных данных в организациях проводят с учетом действующего Положения.

    Этот документ после составления нужно утвердить. Сделать это можно одним из способов:

    • На бланке основного документа предусматривается поле для внесения реквизитов: «Заверено». Руководитель ставит свою подпись и печать, указывая, что Положение заверено.
    • Работодатель издает приказ.

    В первом случае, который считается более трудоемким, распоряжение оформляют в общем порядке.

    Организация защиты персональный данных в организации по ФЗ № 152-ФЗ «О персональных данных»

    ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

    Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных. Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

    Правовое обоснование и необходимость обработки персональных данных в организации


    Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.

    Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

    Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника.

    Меры по защите персональных даных сотрудников

    Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п.

    2 ст. 9 ФЗ «О персональных данных»). Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п.

    2 ст. 6 ФЗ № 152 Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных. Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

    Организация работы с персональными данными

    работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность 4 Трудовая книжка Сведения о трудовом стаже, предыдущих местах работы 5 Копии свидетельств о заключении брака, рождении детей Состав семьи, изменения в семейном положении 6 Документы воинского учета Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников 7 Справка о доходах с предыдущего места работы Ф.И.О., данные о сумме дохода и удержанного НДФЛ 8 Документы об образовании Подтверждают квалификацию работника, обосновывают занятие определенной должности 9 Документы обязательного пенсионного страхования Ф.И.О., личные данные 10 Трудовой договор Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника 11 Приказы по личному составу

    Как правильно организовать работу с персональными данными?

    Организация работы с персональными данными в компании предполагает следующие действия:

    • Приказом по основной деятельности назначить лицо (лиц), ответственное за организацию обработки персональных данных. При необходимости – обучить его новым обязанностям и их правовой основе.
    • Утвердить локальный нормативный акт, регламентирующий процессы получения и обработки персональных данных (например, Положение о персональных данных), и ознакомить с ним всех сотрудников организации под подпись.
    • Получить от всех лиц, чьи персональные данные компания обрабатывает, письменное согласие на обработку.

    В дальнейшем деятельность по обработке персональных данных будет строиться по принятому регламенту.

    Назначение ответственных лиц Лица, ответственные за обработку персональных данных работников организации, назначаются путем издания обыкновенного приказа по основной деятельности.

    Организация работы с персональными данными в учреждении, организации и на предприятии

    Виды ИСПДн.

  • Определение уровня защищенности персональных данных в ИСПДн.
  • Построение системы защиты персональных данных. Определение мер/средств, которые необходимы для обеспечения безопасности персональных данных.
  • Базовая модель угроз.

    Определение угроз и модели нарушителя.

  • Средства защиты информации. Основные виды средств защиты информации.

    Требования законодательства к средствам защиты ПДн.

    Криптографические средства защиты (далее – СКЗИ) персональных данных.

    Организационно-распорядительная документация в сфере СКЗИ.

  • Подготовка к проверке и систематическому мониторингу в сфере персональных данных со стороны Роскомнадзора.
  • ПРАКТИЧЕСКИЕ РАБОТЫ НА УЧЕБНОМ КУРСЕ

    1. Практика по п.1 и п.2 ст.13.11 КоАП: «Передача персональных данных работника сторонним организациям и определить законность передачи»
    2. Практика по п.1 ст.13.11 КоАП: «Какие персональные считаются избыточными при их сборе у работника, соискателя, клиента?»

    Документальное обеспечение при организации защиты персональных данных на предприятии

    Во исполнение требований могут быть введены в действие следующие документы:

    1. внесение дополнений в должностные инструкции ();
    2. распорядительный акт о назначении ответственных ();
    3. форма запроса на доступ ();
    4. положение об обработке персональных данных ();
    5. формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении ( и ).
    6. план мероприятий для проведения контроля ();
    7. форма согласия на обработку персональных данных ( и );

    Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.