Политика обработки персональных данных в организации: образец документа

Политика ЗАО “Консультант Плюс” в отношении обработки персональных данных

Генеральный директор ЗАО “Консультант Плюс”

“14” мая 2019 г.

ПОЛИТИКА ЗАО “КОНСУЛЬТАНТ ПЛЮС” В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ (далее – Политика) определяет политику в отношении обработки персональных данных Закрытого акционерного общества “Консультант Плюс” (далее – Оператор или Компания).

1.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон о персональных данных).

1.3. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

1.4. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.5.2. Оператор обязан:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

1.6. Основные права и обязанности субъектов персональных данных:

1.6.1. Субъекты персональных данных имеют право:

  • на полную информацию об их персональных данных, обрабатываемых Оператором;
  • на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • на отзыв согласия на обработку персональных данных;
  • на принятие предусмотренных законом мер по защите своих прав;
  • на осуществление иных прав, предусмотренных законодательством РФ.

1.6.2. Субъекты персональных данных обязаны:

  • предоставлять Оператору только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.6.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

2. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

  • работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников;
  • клиенты и контрагенты Компании (физические лица);
  • представители/работники клиентов и контрагентов Компании (юридических лиц);
  • посетители сайта (сайтов) Компании (далее – Сайт и Сайты).

2.2. К персональным данным, обрабатываемым Оператором, относятся:

  • фамилия, имя, отчество субъекта персональных данных;
  • место проживания (регион/город);
  • специальность/область профессиональных интересов;
  • номер мобильного телефона;
  • адрес электронной почты (e-mail);
  • история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
  • иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

2.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

2.4. Оператор обрабатывает биометрические персональные данные при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

2.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

2.6. Трансграничная передача персональных данных Оператором не осуществляется.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные обрабатываются Оператором в следующих целях:

  • заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
  • проведение Оператором акций, опросов, интервью, тестирований и исследований на Сайтах;
  • защита субъектов персональных данных от контрафакта справочных правовых систем КонсультантПлюс;
  • предоставление субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера;
  • обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
  • контроль и улучшение качества услуг и сервисов Компании, в том числе предложенных на Сайте (Сайтах);
  • ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
  • привлечение и отбор кандидатов на работу в Компанию;
  • формирование статистической отчетности;
  • осуществление хозяйственной деятельности;
  • осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки персональных данных Оператором являются:

  • Конституция РФ;
  • Трудовой кодекс РФ;
  • Гражданский кодекс РФ;
  • Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
  • Закон РФ от 27 декабря 1991 г. N 2124-1 “О средствах массовой информации”;
  • Федеральный закон от 26 декабря 2008 г. N 294-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”;
  • Указ Президента РФ от 6 марта 1997 г. N 188 “Об утверждении перечня сведений конфиденциального характера”;
  • Постановление Правительства Российской Федерации от 06 июля 2008 г. N 512 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”;
  • Приказ Роскомнадзора от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных”;
  • Приказ ФСТЭК России от 18 февраля 2013 г. N 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”;
  • уставные документы Оператора;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласия субъектов персональных данных на обработку персональных данных;
  • иные основания, когда согласие на обработку персональных данных не требуется в силу закона.
Читайте также:
Как рассчитать зарплату за неполный месяц

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Оператором осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

5.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее – Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.

5.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.

5.5. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.

5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

5.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.

5.8. Оператор для достижения целей обработки вправе передавать персональные данные посетителей Сайтов региональным информационным центрам Сети КонсультантПлюс, перечень которых приведен по адресу: http://www.consultant.ru/about/company/structure/ric/.

5.9. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.11. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.

6.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.

6.3. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

6.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных Согласия, персональные данные подлежат уничтожению, если:

  • Оператор не вправе осуществлять обработку без Согласия субъекта персональных данных;
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.

Положение о персональных данных работников – образец 2021 года

  • Что такое персональные данные
  • Для чего нужно положение о работе с персональными данными
  • Положение о персональных данных работников: структура документа
  • Где можно скачать образец положения об обработке персональных данных работников
  • Итоги

Есть вопросы, какие кадровые документы должны быть оформлены в обязательном порядке, как их вести и заполнять? Задайте их на нашем форуме. Например, здесь можно узнать, чем грозит отсутствие согласия на обработку данных.

Что такое персональные данные

Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Читайте также:
Приказ о дисциплинарном взыскании в виде замечания: образец

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

Как составить согласие на обработку персональных данных, смотрите в здесь.

Для чего нужно положение о работе с персональными данными

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

Является ли положение о персональных данных обязательным для работодателя документом? Ответ на этот вопрос дали эксперты КонсультантПлюс. Получите пробный доступ к системе и переходите в материал.

Какая статья КоАП РФ предусматривает штраф за нарушения при обработке персональных данных, узнайте по ссылке.

Положение о персональных данных работников: структура документа

Рассматриваемый документ содержит локальные нормы, определяющие:

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).

Где можно скачать образец положения об обработке персональных данных работников

Загрузить актуальный для 2021 года образец внутрикорпоративного положения об операциях с подобными данными вы можете на нашем портале. Для вас доступен источник, соответствующий структуре, рассмотренной нами выше.

Итоги

Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.

Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:

Персональные данные для digital-маркетинга: полный гайд и шаблоны документов

Вы собираете имейлы или телефоны клиентов — вы оператор персональных данных. Разбираемся, как не нарушить закон.

Евгений Царёв

Управляющий RTM Group, эксперт в области IT-права и кибербезопасности. 15 лет в сфере защиты информации, из них более 10 лет — на руководящих позициях в крупных компаниях отрасли, включая Leta IT-Company и Swivel Secure. В 2018 году основал и возглавил группу компаний RTM Group, специализирующуюся на IT-праве, судебных компьютерных экспертизах и аудите в области ИБ и ИТ.

  • Что такое персональные данные
  • Уведомление Роскомнадзора
  • Необходимые документы и их шаблоны
  • Согласие на обработку персональных данных
  • Ответственность за нарушение закона

Самозанятый автор. Создаёт статьи в блог и коммерческий контент. Пишет о маркетинге, финансах, бизнесе и YouTube.

Что такое персональные данные

Понятие персональных данных и правила их обработки содержатся в федеральном законе №152-ФЗ «О персональных данных». Согласно ему, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

  • фамилия, имя, отчество;
  • мобильный телефон;
  • электронная почта;
  • адрес проживания;
  • фотография;
  • паспортные данные;
  • другие сведения, позволяющие идентифицировать человека.

Когда вы начинаете обрабатывать такие сведения, то становитесь оператором персональных данных. Под обработкой закон понимает любые действия: сбор, запись, систематизацию, накопление, хранение, — вплоть до уничтожения. Полный список можно посмотреть в этой статье.

Почти все компании в России — операторы персональных данных, потому что обрабатывают хотя бы сведения о сотрудниках. Также операторами становятся все, кто обрабатывает сведения о клиентах. Вот несколько типовых ситуаций:

  • Пользователи оставляют имя и email, чтобы подписаться на новостную рассылку.
  • Потенциальный покупатель заполнил заявку на бесплатный тест-драйв в автосалоне и указал имя и номер телефона.
  • Клиент оформил заказ на маркетплейсе и указал там номер банковской карты, адрес и Ф. И. О.

В тот момент, когда вы начинаете обработку персональных данных, запускается и механизм ответственности. Вы становитесь оператором со всеми последствиями.

О чём необходимо помнить операторам, когда они обрабатывают персональные данные граждан? Нужно определить цель и сроки обработки ПДн, содержание, объём, перечень и категории обрабатываемых данных, заручиться согласием субъекта. Ниже мы разберём подробнее, какие требования законодательства нужно выполнить.

Уведомление Роскомнадзора

Просто так начать обрабатывать персональные данные нельзя. До старта нужно уведомить Роскомнадзор. Только компании и учреждения, которые вели эту деятельность до выхода соответствующего закона, могут регистрироваться по факту. Другими словами, они могут уведомлять ведомство уже после того, как начали обработку.

Читайте также:
Пособие по уходу за инвалидом 1, 2, 3 группы

Перед подачей заявления нужно подготовиться:

  1. Разработать пакет необходимых документов — например, положение об обработке персональных данных и приказы о назначении ответственных. Мы разбираем документы в специальном разделе.
  2. Выполнить ряд организационных и технических мер, в том числе ограничить доступ в помещения, установить пароли.

Уже после этого можно регистрироваться. Роскомнадзор разработал форму уведомления для всех, кто будет обрабатывать персональные данные. Есть три способа подать уведомление:

  • заполнить, распечатать и отправить в местное отделение Роскомнадзора;
  • заполнить, подписать и отправить в электронной форме на сайте Роскомнадзора;
  • заполнить форму и направить её ведомству на «Госуслугах», если у вас есть подтверждённая учётная запись. Если хотите подать уведомление от имени компании, ваша учётная запись должна быть привязана к организации на портале «Госуслуг».

Регулятор вносит сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления. Когда вы начнёте обрабатывать данные и потребуются какие-либо изменения, нужно будет сообщить о них Роскомнадзору. Также нужно будет уведомить, если вы прекратите собирать и обрабатывать данные.

Можно ли обойтись без регистрации в Роскомнадзоре? Можно, но в редких случаях — они описаны в статье 22 №152-ФЗ. В основном это прямые договоры с клиентами, когда вы никому не передаёте информацию о клиентах, а также не предоставляете им дополнительных услуг. Ещё можно обойтись без уведомления, если вы:

  • обрабатываете данные сотрудников по ТК РФ;
  • используете только Ф. И. О.;
  • выдаёте разовый пропуск на территорию.

Но всё это — только если правоотношения строятся «в чистом виде», что на практике практически невозможно. Например, работодатель наверняка имеет зарплатный проект и передаёт сведения в банк.

Если у вас есть хотя бы небольшие сомнения, лучше спросить регулятора о вашем конкретном случае, чем в одностороннем порядке решить, что предписания к вам не относятся.

Случай из практики. Автосалон не зарегистрировали в качестве оператора персональных данных. Руководители организации решили, что организация подпадает под исключения из части 2 статьи 22 152-ФЗ. Все случаи обработки персональных данных, решили они, — это исключения: автосалон выдаёт разовые пропуска, заключает договоры купли-продажи авто и обрабатывает сведения о работниках.

Организация сообщила об этом в Роскомнадзор информационным письмом. В ответ регулятор разъяснил, что пройти процедуру придётся. Аргументы Роскомнадзора были такими:

  • Когда салон продаёт автомобиль, в том числе конкретному клиенту, он взаимодействует с дилерами.
  • Организация предоставляет услуги по гарантийному и техническому обслуживанию транспортных средств.
  • Салон выступает посредником при продаже услуг страхования.
  • Компания предлагает тест-драйв авто, собирая персональные данные в заявках, без договора.

Поскольку салон оказывает сопутствующие и посреднические услуги, ему пришлось зарегистрироваться в качестве оператора.

Необходимые документы и их шаблоны

Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:

  • Политику конфиденциальности.
  • Правила работы с персональными данными.
  • Согласие на обработку персональных данных.
  • Обязательство о неразглашении персональных данных.

В разделе мы расскажем об этих документах подробнее.

Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.

Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.

Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.

Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора. Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы. Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.

Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные. Ошибкой будет написать что-то вроде « Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».

Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс .

Обязательство о неразглашении персональных данных . Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.

Приказ о назначении ответственного за работу с персональными данными . Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.

Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.

Согласие на обработку персональных данных

Когда клиент подписался на новостную рассылку на сайте, оформил заказ на маркетплейсе или оставил заявку на тест-драйв авто, он сообщил как минимум своё имя, номер телефона или email. Это основание запросить и получить согласие на обработку персональных данных.

Пользователь должен принять решение о предоставлении данных свободно и по своей воле. В подтверждение он должен подписать официальное согласие на обработку такой информации.

Законодательство не предполагает конклюдентного подтверждения: то есть пользователь не может дать согласие, выполнив определённые действия. Нельзя прописать в политике, что клиент выражает согласие на обработку его данных, заполняя форму для заказа в интернет-магазине.

Читайте также:
Как оформить внесение изменений в должностную инструкцию

Получить согласие на обработку можно в любой форме, позволяющей подтвердить факт его получения. Например, чекбоксом — пунктом, в котором пользователь должен поставить галочку. Предустанавливать её нельзя: субъект персональных данных должен сам выразить согласие. Разместить чекбокс нужно во всех формах, в которых собирают персональные данные.

Также можно поместить уведомление о согласии на обработку рядом с кнопкой. Нажав на неё, пользователь согласится с тем, что вы будете обрабатывать его данные. Часто веб-сервисы собирают разрешения в личных кабинетах, где пользователи также проставляют метки в специальных формах.

Важно! Если собираете биометрические данные (фото пользователей или аудио с их голосом), нужно получать только письменное согласие на обработку персональных данных. Чекбокс не подойдёт.

В любой момент пользователь может отозвать согласие на обработку персональных данных. Тогда вы должны будете прекратить обрабатывать их, то есть удалить.

Бывают ли случаи, когда не нужно брать согласие на обработку персональных данных? Бывают, но их мало. Закон разрешает не брать согласие, если « обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора».

Не забывайте получать согласие на обработку персональных данных, даже если это кажется избыточным. Самые частые нарушения, за которые штрафуют операторов: компании обрабатывали данные без согласия владельцев или объём запрошенных данных не соответствовал целям обработки. Эти нарушения приводят не только к штрафам, но и к утечкам.

Ответственность за нарушения при обработке персональных данных

Правомерную обработку персональных данных контролирует Роскомнадзор, иногда это делают также Роструд и ФАС. Ответственность за нарушения в этой сфере год за годом ужесточается. Подробнее о видах ответственности читайте здесь.

По статье 13.11 КоАП РФ Роскомнадзор может возбудить дело об административном правонарушении и наложить штраф:

  • для граждан — от 700 до 100 000 рублей;
  • для должностных лиц — от 3000 до 800 000 рублей;
  • для индивидуальных предпринимателей — от 5000 до 20 000 рублей;
  • для юридических лиц — от 15 000 до 18 000 000 рублей.

Риск привлечения к ответственности и размер штрафа не зависят от масштабов компании. Главное — характер и злостность нарушения.

Кейс. Роскомнадзор выявил нарушения на интернет-ресурсе, принадлежащем французскому регистратору доменов Gandi SAS. Когда клиент проставлял галочку о согласии на обработку персональных данных, он не получал информации об операторе.

Кроме того, компания обрабатывала личные сведения граждан России на территории США с нарушением требований 152-ФЗ. Согласно пункту 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории России. У компании также не было политики обработки персональных данных. В результате рассмотрения дела ресурс включили в Реестр нарушителей прав субъектов персональных данных.

Только за 2020 год число заблокированных Роскомнадзором ресурсов превысило 190 тысяч. У регулятора есть широкий список оснований, в соответствии с которыми он может включить ресурс в список нарушителей. Подробный список представлен здесь.

Кроме того, в июле 2021 года вступил в силу 355-ФЗ, который внёс поправки в статью 7 115-ФЗ — закона о борьбе с легализацией доходов и финансированием терроризма.

Согласно новой редакции закона, банки обязаны принимать на обслуживание только те компании, сайт которых работает легитимно. А значит, он не заблокирован, не нарушает правила обработки персональных данных и другие предписания Роскомнадзора. Если есть какие-то нарушения, банк обязан отказать в обслуживании: компания не сможет совершать любые операции по расчётному счёту.

Закон касается не только новых компаний, но и тех, кто давно работает с расчётным счётом. Сфера бизнеса и организационно-правовая форма не имеют значения — никаких исключений нет. Банкам предписано выборочно проверять сайты на соответствие закону и бить тревогу, если выявлены нарушения.

обложка: Polina Vari для Skillbox Media

Политика оператора персональных данных

Автор: Данилова В. В., эксперт информационно-справочной системы «Аюдар Инфо»

С июля 2017 года была изменена ответственность за нарушение законодательства о персональных данных. Один из новых составов правонарушений – невыполнение оператором персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки таких данных (далее – Политика). Причем названная обязанность существует еще с 2011 года, но специальная ответственность за ее невыполнение установлена только сейчас. Расскажем, что это за документ, как его составлять, все ли работодатели должны его иметь и где он должен быть опубликован.

Что это за документ?

В соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к обязанностям оператора персональных данных относится в том числе издание документа, определяющего политику оператора в отношении обработки персональных данных, что позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к указанному документу и к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей сети.

Контроль исполнения этой обязанности осуществляют органы Роскомнадзора. И по их требованию оператор обязан представить перечисленные документы и локальные акты и (или) иным образом подтвердить выполнение обязанностей, установленных ст. 18.1 Закона № 152-ФЗ.

Что же это за документ? Не стоит путать его с положением о персональных данных. У оператора персональных данных в силу той же ст. 18.1 помимо Политики должны быть отдельные локальные акты по вопросам обработки таких данных и локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий нарушений.

К сведению: к обозначенным локальным актам относятся различные положения (об обработке персональных данных, об обеспечении безопасности персональных данных и т. п.), перечни (должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты и др.), инструкции и регламенты.

Многие организации этот документ так и называют – «Политика в отношении обработки персональных данных». До недавнего времени он составлялся в произвольной форме, но в августе 2017 года Роскомнадзор разработал Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ (далее – Рекомендации).

Читайте также:
Как рассчитывается отпуск в праздничные дни

О том, какие положения рекомендовано включать в документ, определяющий эту политику, мы расскажем далее. Но прежде следует разобраться, все ли работодатели являются операторами персональных данных и соответственно все ли должны утверждать и опубликовывать его для неограниченного доступа.

Кто является оператором персональных данных?

Согласно ст. 3 Закона № 152-ФЗ оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку таких данных, а также определяющие цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.

Общим признаком оператора персональных данных для всех организаций является обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают еще и персональные данные клиентов. То есть, по сути, операторами персональных данных являются все без исключения организации.

Однако не все операторы должны исполнять требования Закона № 152-ФЗ в полном объеме. Так, не все операторы должны исполнять обязанность по уведомлению уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных согласно ст. 22 Закона № 152-ФЗ. Исключения, в частности, установлены для организаций, осуществляющих обработку персональных данных:

обрабатываемых в соответствии с трудовым законодательством;

полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если они не распространяются, не предоставляются третьим лицам без согласия субъекта данных используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими объединением или организацией, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

сделанных субъектом персональных данных общедоступными;

включающих в себя только фамилии, имена и отчества субъектов персональных данных;

необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Все остальные операторы такие уведомления направляют, после чего включаются в реестр операторов.

Обратите внимание: сведения об операторе, содержащиеся в реестре, являются общедоступными. Они размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора.

Соответственно, организации, не подающие уведомления, в реестр операторов не включаются.

Что же касается обязанности по составлению Политики и других локальных документов, здесь исключений никаких не установлено. Соответственно документ, определяющий политику в отношении обработки персональных данных, должен быть в каждой организации.

Причем если организация осуществляет сбор персональных данных граждан с использованием Интернета (регистрация на сайте, форма обратной связи, куда необходимо внести персональные данные), этот документ должен быть размещен на сайте организации. К таким организациям, в первую очередь, относятся интернет-магазины, социальные сети и другие сайты, государственные и муниципальные органы, а также медицинские учреждения, образовательные организации, налоговые и другие регистрирующие органы, организации в сфере социальных услуг, банки, турагентства. Это могут быть и просто организации, которые проводят конкурсы на занятие определенных должностей и на своих сайтах выставляют имеющиеся вакансии и предлагают кандидатам заполнить анкету.

Если органы контроля установят, что оператор не опубликовал или не обеспечил иным образом неограниченный доступ к своей Политике или сведениям о реализуемых требованиях к защите персональных данных, организация будет оштрафована в соответствии с ч. 3 ст. 13.11 КоАП РФ, предусматривающей штраф для должностных лиц от 3 000 до 6 000 руб., а для юридических – от 15 000 до 30 000 руб.

К сведению: в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства РФ в области персональных данных, создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Формирует данный реестр Роскомнадзор (ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Рекомендации по составлению Политики

Итак, поскольку обязанность по созданию Политики существует давно, в большинстве организаций она разработана, правда, не факт, что опубликована. Иногда Политику публикуют так, что ее сложно найти. Поэтому организациям следует рассмотреть этот документ с учетом Рекомендаций и при необходимости внести изменения путем утверждения нового документа, разместив его в соответствии с требованиями законодательства. А работодателям, у которых этого документа нет, следует его срочно составить, руководствуясь Рекомендациями.

Обратите внимание: рекомендации изданы в целях выработки унифицированного подхода к структуре и форме документа, определяющего политику оператора в отношении обработки персональных данных.

Итак, исходя из Рекомендаций, в Политику надо включить такие разделы:

Читайте также:
Приказ о предоставлении отпуска работнику: образец

1. Общие положения.

Здесь нужно описать назначение Политики, привести основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т. д.), перечислить основные права и обязанности оператора и субъекта(ов) данных.

2. Цели сбора персональных данных.

Следует помнить, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.

Цели обработки персональных данных, перечисляемые в этом разделе, могут происходить в том числе из:

анализа правовых актов, регламентирующих деятельность оператора;

целей фактически осуществляемой оператором деятельности;

деятельности, которая предусмотрена учредительными документами оператора;

конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

3. Правовое основание обработки персональных данных.

Таковым является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных. В качестве правового основания обработки этих данных могут быть указаны:

федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;

уставные документы оператора;

договоры, заключаемые между оператором и субъектом персональных данных;

согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора).

Обратите внимание: Закон № 152-ФЗ не может служить правовым основанием обработки персональных данных оператором, поскольку регулирует отношения, связанные с обработкой этих данных, и закрепляет требования, предъявляемые к операторам при обработке этих данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены в том числе:

работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;

клиенты и контрагенты оператора (физические лица);

представители и работники клиентов и контрагентов оператора (юридических лиц).

В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

5. Порядок и условия обработки персональных данных.

В этом разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы и сроки обработки данных.

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи данных в адрес третьих лиц – например, наличие договора поручения на обработку персональных данных, в том числе находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.

Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством РФ.

Рекомендуется указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Закона № 152-ФЗ, а также о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона № 152-ФЗ.

Условием прекращения обработки персональных данных может являться достижение целей обработки, истечение срока действия согласия или отзыв согласия субъекта данных на их обработку, выявление неправомерной обработки персональных данных.

Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта данных, и не дольше, чем требуют цели обработки персональных данных, кроме случаев, когда срок хранения данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Рекомендуется указывать сроки хранения (конкретная дата (число, месяц, год)) персональных данных и основание, наступление которого повлечет прекращение обработки данных.

К сведению: при осуществлении хранения персональных данных оператор обязан использовать базы данных, находящиеся на территории РФ, в соответствии с ч. 5 ст. 18 Закона № 152-ФЗ.

Также рекомендуется указывать иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

В случае подтверждения факта неточности данных или неправомерности их обработки персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена (ст. 21 Закона № 152-ФЗ).

При достижении целей обработки персональных данных, а также в случае отзыва субъектом данных согласия на их обработку они подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или иными федеральными законами;

иное не предусмотрено другим соглашением между оператором и субъектом персональных данных.

Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего (ст. 20 Закона № 152-ФЗ).

Кроме этих разделов, в Политику рекомендуется включать регламент(ы) реагирования на запросы, обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов, обращений.

Политика утверждается приказом работодателя. Если принимается новая Политика, приказом следует отменить предыдущую и утвердить новую редакцию Политики.

С Политикой необходимо ознакомить всех работников организации под подпись.

В связи с постоянным развитием компьютерных технологий защите персональных данных уделяется все больше внимания. Сейчас практически каждая организация имеет свой сайт и не просто размещает на нем те или иные сведения, но и осуществляет через него обмен информацией, в том числе персональными данными. При этом на сегодняшний момент Политика мало кем из организаций опубликована.

Читайте также:
Персональная надбавка к заработной плате и окладу - что это такое, обоснование

Еще раз обращаем внимание, что Политика – это отдельный документ, который должен быть у каждого оператора персональных данных, не считая других обязательных локальных актов в сфере обработки и защиты персональных данных. Если у вас еще его нет, его следует разработать, а если есть – привести в соответствие с Рекомендациями. И не стоит относиться к этому формально, ограничиваясь общими нормами Закона № 152-ФЗ, поскольку при проверке будет учитываться не только сам факт наличия Политики, но и то, насколько она соответствует реальному положению дел в области обработки персональных данных в конкретной организации.

Согласие на обработку персональных данных

Относительно недавно в России был введен в оборот новый документ под названием «Согласие на обработку персональных данных». Очень быстро он получил повсеместное распространение и на данный момент широко используется в самых разных организациях, начиная от государственных бюджетных учреждений и до коммерческих компаний.

К вашему вниманию! Этот документ можно скачать в КонсультантПлюс.

Что собой представляет согласие

Согласие на обработку персональных данных – это письменное разрешение гражданина Российской Федерации, которое он дает заинтересованной стороне на получение, сбор, хранение и использование персональных сведений о себе.

Также документ гарантирует человеку то, что информация о нем будет применяться для строго определенных целей и будет защищена от неправомерных действий.

Когда чаще всего требуется согласие

Сейчас согласие необходимо писать почти повсеместно:

  • при подаче документов на ребенка в садик или школу;
  • при трудоустройстве;
  • при заключении договора с банком, страховой компанией и т.д.

Иными словами, везде, где гражданин предоставляет свои личные документы или документы лица, представителем которого он является, заполняет различного рода тесты и анкеты, он подписывается такое согласие.

Что вкладывается в термин «персональные данные»

Закон четко определяет это понятие: под персональными данными понимается вся информация, которая напрямую относится к человеку, как к физическому лицу. Это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • сведения из паспорта, трудовой книжки и прочих документов;
  • а также некоторые характеристики его личности.

При этом следует отметить, что согласие на обработку персональных данных требуется даже несмотря на то, что далеко не все эти сведения имеют характер конфиденциальных и закрытых.

В частности их условно можно поделить на три основных вида:

  1. общедоступные данные (ФИО, пол, дата, место рождения, гражданство и т.п.)
  2. биометрические (физиологические особенности индивида, его внешние параметры)
  3. специальные (народность, религия, здоровье и т.д.). Сюда же в некоторой степени относится и информация о месте работы человека, его отношениях с законодательством, привычках и т.п.

По закону, согласие на обработку персональных действий строго необходимо только тогда, когда оно касается двух последних из вышеназванных категорий, однако зачастую оно пишется и в отношении той информации, которая имеет позицию общедоступной.

Для чего формируется согласие на обработку при трудоустройстве

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

В этом документе должно быть подробно расписано, как, с какой целью и какие конкретно сведения из персональных данных будут применяться, обрабатываться и храниться.

Следует отметить, что по закону, вся персональная информация, предоставленная работодателю, может использоваться только в служебных целях.

Если сотрудник отказывается подписывать согласие

Законодательство РФ однозначно говорит о том, что согласие должно быть только и исключительно добровольным, то есть работодатель не имеет права принудить подчиненного подписать данный документ, поэтому в практике кадровых специалистов встречаются люди, которые отказываются подписывать согласие на обработку персональных данных.

Обычно это бывает вызвано тем, что они не понимают истинного назначения документа: защитить права работника, а напротив, опасаются, что личные сведения о них попадут в руки недобросовестных граждан.

В этих случаях закон допускает обработку персональных данных без согласия работника, но только тогда, когда это нужно для реализации условий и целей ранее заключенного трудового договора.

Здесь отдельно следует акцентировать внимание на том, что это касается только тех сотрудников организации, которые уже зачислены в ее штат, а вот в отношении новых работников согласие на обработку персональных данных получить необходимо – без него в большинстве случаев человека на сегодняшний день даже невозможно принять на работу. Связано это с тем, что между сторонами еще не заключен трудовой договор, а значит, у работодателя еще нет и обязанности его исполнять.

Логично, что администрация предприятия стремится избежать ситуаций, когда, например, даже в таких мелочах, как выписка пропуска на территорию компании, отсутствие согласия на обработку персональных данных может сыграть свою негативную роль.

Что грозит за разглашение персональных данных

Как уже говорилось выше, действия, которые работодатель может совершать с персональными данными работников, четко прописываются в тексте согласия.

Если полномочия в какой-то степени превышаются, а, тем более, если происходит какое-то злоупотребление, ответственность может наступить самая серьезная: начиная от дисциплинарной и административной, вплоть до уголовной.

Для того, чтобы сотрудник имел четкое представление о том, не выходит ли запрашиваемая у него информация за рамки нужной по закону или не превышаются ли полномочия работников предприятия по тексту согласия, следует заранее проанализировать документ (возможно даже воспользовавшись помощью квалифицированного юриста) и только тогда ставить под согласием свою подпись.

В частности, данные о том, отбывал ли гражданин срок в местах лишения свободы, нужна только тогда, когда должность, на которую он претендует, напрямую требует отсутствия судимости (иными словами, если соискатель хочет работать менеджером по рекламе, такие данные он имеет право не предоставлять).

Читайте также:
Положение о суммированном учете рабочего времени: образец

Как уведомить

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Можно ли отозвать согласие

Обычно действие с согласием на обработку персональных данных происходит так: устраиваясь на работу, человек подписывает документ, после чего благополучно о нем забывает. Но в некоторых случаях, возникает необходимость об отзыве ранее подписанного согласия. Как правило, это бывает, когда работодатель нарушает условия хранения, использования и обеспечения закрытости поступившей в его распоряжение информации, а также при увольнении.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Это требование должно быть выполнено не позже чем через месяц после написания отзыва.

Образец согласия

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. При этом в бланке обязательно должны быть следующие данные:

  • наименование компании-работодателя;
  • место и дата составления документа;
  • фамилия, имя, отчество работника, его паспортные данные и сведения о месте жительства.

Далее в основной части подробно указывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва (хотя это итак гарантировано законодательством).

Обязательно следует поставить отметку о том, что согласие написано без принуждения и в добровольном порядке. После того этого под документом ставится подпись.

СОГЛАСИЕ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

До моего сведения доведено, что ОАО «КомЖилФонд» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.

Подтверждаю, что давая согласие я действую без принуждения, по собственной воле и в своих интересах.

Вы ещё помните? Этот документ можно скачать в КонсультантПлюс.

Полная материальная ответственность работника: есть нюансы

В чем суть

Статья 238 ТК РФ (закон о материальной ответственности работника) устанавливает обязанность сотрудника компенсировать причиненный работодателю ущерб.

Сумма, которую разрешается взыскать, то есть размер материальной ответственности работника, рассчитывается исходя из действительного урона, нанесенного предприятию действиями сотрудника, если возникли:

  • фактическое изменение имущества работодателя в сторону его уменьшения;
  • порча состояния такого имущества;
  • необходимость в затратах либо дополнительных финвложениях на покупку или восстановление имущества;
  • необходимость возместить убытки, причиненные третьим лицам.

В общем порядке ( ст. 241 ТК РФ ) с человека взыскивается сумма в пределах его среднемесячного заработка. В таком случае он ограниченно ответственен за содеянное. Полная матответственность предполагает возмещение убытков в размере нанесенного ущерба. Таким образом, понятия «ограниченная материальная ответственность» и «полная материальная ответственность» объединяет одно: за ущерб придется платить.

Когда применяется

ТК РФ ограничивает перечень лиц следующими критериями:

  • сотруднику более 18 лет;
  • трудовые обязанности связаны с денежными, товарными ценностями;
  • обязанности содержатся в перечне работ и категорий трудящихся, в отношении которых применяется полная материальная ответственность работника (закрепляется перечнем должностей и работ, утвержден постановлением Минтруда от 31.12.2002 № 85).

Как заключить договор о полной матответственности

Договоры заключаются в письменном виде по типовым формам, установленным в перечне.

Если должность или работа указаны в перечне, есть пункт в трудовом договоре или отсылка на то, что должность в перечне, а сотрудник отказывается заключать договор о полной материальной ответственности, такой отказ рассматривается как неисполнение трудовых обязанностей с применением мер дисциплинарного взыскания. А о том, что такое материальная ответственность работника и что выполнение трудовых обязанностей сопровождается заключением договора о полной матответственности, ему обязаны рассказать на этапе приема на работу.

Возможны ситуации, когда такой договор необходимо заключить уже с работающим гражданином. Например, изменилось законодательство, и должность или работа сотрудника оказалась включенной в перечень. В этой ситуации работодатель предлагает человеку перевестись на другую работу ( ст. 74 ТК РФ ). Если другой работы нет либо сотрудник отказывается от предложенного варианта, трудовой договор с ним прекращается (пп. 7 п. 1 ст. 77 ТК РФ ).

Если нет договора

Без заключения договора материальная ответственность работника определяется и наступает по ст. 243 ТК РФ :

  • причинение вреда умышленно, это относится к случаям, когда сотрудник осознает возможность его причинения и желает этого;
  • причинение вреда в состоянии опьянения, что подтверждено медицинским заключением. Освидетельствование проводится с согласия сотрудника в лечебных специализированных учреждениях или с выездом специалистов;
  • приговор суда. Следует учитывать, что работодатель вправе обратиться в суд в течение года с момента вступления в силу приговора суда о возмещении работником ущерба ( ст. 392 ТК РФ );
  • распространение сведений, составляющих служебную тайну, в законодательно установленных случаях. Обязанность сотрудника — возместить нанесенный действительный убыток. При разглашении тайны определить размер такого ущерба очень затруднительно: он оценивается в стоимость бумаги или дискеты, на которых содержались тайные сведения. Основной ущерб от разглашения — это упущенная выгода. Взыскать ее можно, только заключив ГПД о неразглашении коммерческой тайны, к которому будут применяться нормы 139 ГК РФ о возмещении убытков в полном объеме, включая и упущенную выгоду;
  • причинение ущерба при использовании вверенного имущества в личных целях.
Читайте также:
Порядок и сроки возврата налогового вычета

Действия работодателя

Чтобы решить вопрос о материальной ответственности в финансовом плане и возместить ущерб, работодателю следует:

  • установить величину убытка и причины его возникновения ( ст. 246 , 247 ТК РФ ). Сумма убытка определяется фактическими потерями, исходя из рыночных цен на день причинения ущерба;
  • истребовать письменное объяснение о причинах действий, повлекших убытки для предприятия. В случае отказа дать объяснения составляется акт.

Взыскание с виновного суммы причиненных убытков в пределах его месячного заработка осуществляется на основании приказа руководителя, составленного в течение месяца со дня определения размера ущерба ( ст. 248 ТК РФ ).

В судебном порядке взыскание осуществляется, если:

  • месячный срок истек;
  • сотрудник не согласен добровольно возместить причиненный убыток;
  • сумма убытка превышает среднемесячный заработок работника.

Итак, к случаям полной материальной ответственности работника относятся только установленные перечнем должностей и работ.

Заключение договора является добровольным. Его наличие или отсутствие не влияет на то, является ли сотрудник ответственным за убытки, причиненные предприятию.

Делать запись в трудовом договоре о о полной матответственности тоже необязательно.

Статья 242. Полная материальная ответственность работника

Полная материальная ответственность работника состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере.

Материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных настоящим Кодексом или иными федеральными законами.

Работники в возрасте до восемнадцати лет несут полную материальную ответственность лишь за умышленное причинение ущерба, за ущерб, причиненный в состоянии алкогольного, наркотического или иного токсического опьянения, а также за ущерб, причиненный в результате совершения преступления или административного правонарушения.

Комментарий к ст. 242 TК РФ

1. За ущерб, причиненный работодателю, работник может нести полную материальную ответственность – без каких-либо пределов и ограничений, но только в случаях, предусмотренных как ТК, так и иными федеральными законами (см. комментарий к ст. ст. 243 – 244 ТК).

2. Возможность привлечения работников в возрасте до 18 лет к полной материальной ответственности ограничена случаями, перечисленными в ч. 3 ст. 242 ТК.

Судебная практика по статье 242 TК РФ

Разрешая дело, суд руководствовался пунктом 1 статьи 1081, пунктом 3 статьи 1083 Гражданского кодекса РФ, статьями 238, 242, 239, пунктом 5 статьи 243, пунктом 1 статьи 250 Трудового кодекса РФ и исходил из того, что ущерб ответчиком истцу был причинен в результате совершения им преступления. Выплата ОАО “Еманжелинскхлеб” (работодателем водителя Ф.) денежной суммы в размере 80 тысяч рублей третьему лицу наделяет истца правом требования к ответчику возмещения причиненного ущерба, выразившегося в уменьшении наличного имущества истца, в полном объеме. С учетом добровольного возмещения ответчиком суммы в размере 40 тысяч рублей представителю потерпевшего и отсутствия умысла ответчика при совершении преступления, суд снизил подлежащую возмещению с Ф. сумму до 40 тысяч рублей. Суд кассационной инстанции также обратил внимание на то, что преступными действиями работника работодателю причинен прямой действительный ущерб в виде излишних выплат работодателя на возмещение ущерба, причиненного работником третьему лицу. При этом суд кассационной инстанции доводы Ф. об отсутствии вынесенного в его отношении обвинительного приговора отверг, указав, что уголовное дело в отношении Ф. было прекращено по постановлению суда в связи с его примирением с представителем потерпевшего на основании ст. 76 Уголовного кодекса РФ и ст. 25 Уголовного процессуального кодекса РФ, которые в качестве необходимого условия для прекращения уголовного дела по данному основанию предусматривают возмещение лицом, совершившим преступление, причиненного потерпевшему вреда. В частности, согласно ст. 76 Уголовного кодекса РФ лицо, впервые совершившее преступление небольшой или средней тяжести, может быть освобождено от уголовной ответственности, если оно примирилось с потерпевшим и загладило причиненный потерпевшему вред. Из содержания данной нормы закона следует, как указал суд кассационной инстанции, что обязанность загладить причиненный потерпевшему вред лежит непосредственно на лице, совершившем преступление, и поэтому не может быть переложена на работодателя данного лица.

2.1. Определением от 25 января 2007 года N 138-О-О Конституционный Суд Российской Федерации отказал в принятии к рассмотрению жалобы гражданина В.М. Рубанова на нарушение его конституционных прав отдельными положениями Трудового кодекса Российской Федерации, Гражданского процессуального кодекса Российской Федерации и Гражданского кодекса Российской Федерации, поскольку она не отвечала требованиям Федерального конституционного закона “О Конституционном Суде Российской Федерации”, в соответствии с которыми жалоба в Конституционный Суд Российской Федерации признается допустимой, и поскольку разрешение поставленных в жалобе вопросов Конституционному Суду Российской Федерации неподведомственно. При этом Конституционный Суд Российской Федерации указал, что в своей жалобе заявитель, не оспаривая по существу конституционность перечисленных в ней статей Трудового кодекса Российской Федерации, Гражданского процессуального кодекса Российской Федерации и Гражданского кодекса Российской Федерации, фактически обжалует законность и обоснованность вынесенных по его трудовым спорам судебных решений, что Конституционному Суду Российской Федерации неподведомственно. Повторное обращение заявителя в Конституционный Суд Российской Федерации с просьбой о проверке конституционности статей 238, 242, 246 и 247 Трудового кодекса Российской Федерации, статей 133 и 140 ГПК Российской Федерации направлено на пересмотр названного Определения Конституционного Суда Российской Федерации, что недопустимо.

В своих жалобах в Конституционный Суд Российской Федерации В.М. Рубанов просит признать противоречащими статьям 2, 4 (часть 1), 15 (части 1 и 4), 17, 18, 19 (части 1 и 2), 21 (часть 1), 37 (части 2 и 3), 46 (часть 1), 47, 50 (части 1 и 2), 52, 53, 54 (часть 1), 55 (части 1 и 2), 120 и 123 (часть 3) Конституции Российской Федерации пункт 1 статьи 10, статьи 15, 150, 151, пункты 2 и 5 статьи 152, статьи 1100, 1101 ГК Российской Федерации, пункт 5 части первой статьи 23, статьи 24, 39, часть третью статьи 45, часть вторую статьи 61, часть первую статьи 194, части третью и четвертую статьи 198, абзац пятый статьи 215, абзац четвертый статьи 217, абзац третий статьи 328, пункты 1 и 2 части первой статьи 362, статьи 381, 393, 397 ГПК Российской Федерации, пункт 4 части первой статьи 33, статью 121.1 КЗоТ Российской Федерации, часть вторую статьи 82, статьи 192, 193, 232, 233, 238, 242, 246, 247, 373, 390, 392 Трудового кодекса Российской Федерации, части вторую и пятую статьи 20, часть первую статьи 318 УПК Российской Федерации.

Читайте также:
Как оформить внесение изменений в должностную инструкцию

Разрешая спор, суд первой инстанции со ссылкой на положения статей 233, 238, 239, 242 – 244, 246 Трудового кодекса Российской Федерации и на разъяснения, данные в пункте 4 постановления Пленума Верховного Суда Российской Федерации от 16 ноября 2006 г. N 52 “О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю”, пришел к выводу об отсутствии оснований для удовлетворения иска независимого профсоюза “Профсвобода” в части требований о признании недействительными результатов инвентаризации от 23 июня 2017 г., признании незаконным и необоснованным вынесенного по результатам инвентаризации приказа управляющего трестом от 7 июля 2017 г. об удержании денежных средств из заработной платы Лантух Я.И. за июнь 2017 года, о взыскании с ответчика в пользу Лантух Я.И. денежных средств, удержанных в связи с реализацией этого приказа. Суд исходил из того, что работодателем соблюдены правила заключения договора о полной коллективной (бригадной) материальной ответственности, размер причиненного работником работодателю материального ущерба и вина Лантух Я.И. как материально ответственного лица определены и подтверждаются результатами инвентаризации, обстоятельств, исключающих материальную ответственность Лантух Я.И., в ходе судебного разбирательства не установлено.

Полная материальная ответственность работника состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере (часть 1 статьи 242 Трудового кодекса Российской Федерации).
Частью 2 статьи 242 Трудового кодекса Российской Федерации предусмотрено, что материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных этим кодексом или иными федеральными законами.

Полная материальная ответственность работника состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере (часть первая статьи 242 Трудового кодекса Российской Федерации).
Частью второй статьи 242 Трудового кодекса Российской Федерации предусмотрено, что материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных этим кодексом или иными федеральными законами.

Разрешая спор и отказывая ФКУ “Национальный центр управления в кризисных ситуациях” в удовлетворении исковых требований к Груздеву В.М. о возмещении прямого действительного ущерба, суд первой инстанции, руководствуясь положениями статей 242, 244 Трудового кодекса Российской Федерации и принимая во внимание разъяснения, содержащиеся в пункте 8 постановления Пленума Верховного Суда Российской Федерации от 16 ноября 2006 г. N 52 “О применении судами законодательства, регулирующего материальную ответственность работников за ущерб, причиненный работодателю”, пришел к выводу о том, что правовых оснований для привлечения Груздева В.М. к полной материальной ответственности не имеется, указав, что представленное в материалы дела распоряжение МЧС России от 26 марта 2015 г. N 88, на которое ссылается истец как на документ, влекущий возникновение полной материальной ответственности у ответчика, не является таковым, а является односторонним организационно-распорядительным документом и не может создавать для работника прав и обязанностей, которые в силу прямого указания в законе возникают только при заключении специального письменного договора о полной материальной ответственности. Также суд первой инстанции указал на то, что работодатель не вправе своими односторонними действиями, выраженными в том числе в издании соответствующего распоряжения, расширять пределы ответственности работника и создавать для него худшее по сравнению с нормами закона положение, при этом доказательств заключения с Груздевым В.М. договора о полной материальной ответственности истцом не представлено.

Частями первой и второй статьи 242 Трудового кодекса Российской Федерации определено, что полная материальная ответственность работника; состоит в его обязанности возмещать причиненный работодателю прямой действительный ущерб в полном размере. Материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных Трудовым кодексом Российской Федерации или; иными федеральными законами.

На основании изложенного с учетом уточнения исковых требований в порядке статьи 39 Гражданского процессуального кодекса Российской Федерации командир войсковой части 57229, ссылаясь на положения статей 21, 238, 242, 243, 277 Трудового кодекса Российской Федерации, просил суд взыскать с Субботина С.А., Тараева З.Х., Яфарова Р.Р., Лазараева А.Т. солидарно причиненный ущерб в сумме 1 288 913 руб. 64 коп.

Полная материальная ответственность работника состоит в его обязанности возместить причиненный работодателю прямой действительный ущерб в полном размере (часть 1 статьи 242 Трудового кодекса Российской Федерации).
Частью второй статьи 242 Трудового кодекса Российской Федерации установлено, что материальная ответственность в полном размере причиненного ущерба может возлагаться на работника лишь в случаях, предусмотренных этим Кодексом или иными федеральными законами.

Суды руководствовались статьями 15, 53, 401, 1064, 1081 Гражданского кодекса Российской Федерации, статьями 232, 233, 238, 241, 242, 243 Трудового кодекса Российской Федерации, разъяснениями, данными в постановлении Пленума Высшего Арбитражного Суда Российской Федерации от 30.07.2013 N 62 “О некоторых вопросах возмещения убытков лицами, входящими в состав органов юридического лица”.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: