Есть ли дополнительные требования к обработке персональных данных без использования средств сдо ржд

Какие персональные данные оператор собирает через сайт и зачем?

ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.

ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф. , адрес, номер телефона, e-mail.

В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:

  • проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
  • принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.

ПД, которые оператор собирает без предоставления вами информации.

В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).

Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».

Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30. 2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к защите ПД, обрабатываемых без применения средств автоматизации

Есть отдельный правовой акт, нормирующий обработку ПД, размещенных на бумажных носителях. Это Постановление Правительства No 687 от 15. 2008. В нем определены условия обработки персональных данных, имеющихся в документе, без использования ИС. Постановление регламентирует применение типовых бланков, в которых предполагается наличие персданных и мероприятия для их сохранности

Есть ли дополнительные требования к обработке персональных данных без использования средств сдо ржд

Если работодатель применяет типовые формы, у него должны быть разработаны инструкции по их заполнению.

Пример приказа о предоставлении отпуска

Кроме информации, традиционно отражаемой в подобном распоряжении, постановление требует указать:

  • . Здесь ПД обрабатываются для реализации права работника на получение и оплату ежегодного отпуска. Это и есть цель обработки персональных данных, выполняемой без использования средств автоматизации.
  • Источник и сроки. Личная карточка работника No Т-2. Длительность хранения ПД из настоящего документа — в течение установленного законом архивного срока хранения.
  • . Импортирование данных в «1С», использование на бумажном носителе после вывода на печать, отражение в Личной карточке No Т-2, графике отпусков.
  • Описание применяемых методов обработки. Сбор, запись, накопление, хранение, уточнение (обновления, изменения), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение— указывайте только то, что применяете.

Есть ли дополнительные требования к обработке персональных данных без использования средств сдо ржд

Официальных рекомендаций по выполнению п. 7 ПП No 687 нет. Вы можете поступить следующим образом:

  • Указать требуемую информацию в ЛНА, разъясняющем правила заполнения типовых бланков:
    приказы или распоряжения о приеме на работу;-//- о предоставлении отпуска;-//- об увольнении;личный листок и другие.
  • приказы или распоряжения о приеме на работу;
  • -//- о предоставлении отпуска;
  • -//- об увольнении;
  • личный листок и другие.

По каждой типовой форме, содержащей персональные данные, разрабатывайте отдельную инструкцию с указанием актуальных сведений.

Есть ли дополнительные требования к обработке персональных данных без использования средств сдо ржд

Персональные данные соискателя

Кадровики часто сталкиваются с проблемой обработки ПДн без использования средств автоматизации в анкетах соискателей. Возникают затруднения в определении характера собираемых ПД, их количестве и оформления в документах.

Что касается количества сведений — придерживайтесь ст. 5, п. 5 N 152 — ФЗ и запрашивайте только те личные сведения, которые вам действительно необходимы.

Если организация собирает ПД соискателей с помощью типовой формы анкеты, утвержденной работодателем, все указанные выше требования распространяются и на нее. Дополнительно к общим условиям данная анкета должна вмещать:

  • информацию о сроке ее рассмотрения;
  • решение об устройстве либо отказе в приеме на работу.

Порядок заполнения всех типовых форм документов персональных данных — бланков и форм, применяемых в организации, включая приказы, анкеты, график отпусков и прочие, отразите в отдельных разработанных и утвержденных инструкциях.

Обработка ПД в коллективных формах

Проблемы возникают при использовании коллективных форм, включающих личную информацию сразу нескольких субъектов. Это обработка персональных данных без автоматизации в:

  • графиках отпусков, приказах о премировании;
  • приказах о предоставлении отпусков (Т-6а);
  • графиках работ, сменности.

Каждый работник, чьи ПД указаны в бланке, вправе ознакомиться с тем, какие именно сведения о нем обрабатываются. При этом он должен сделать это так, чтобы не нарушить права других субъектов, чьи данные также размещены в этой форме. Для обеспечения этого условия ПД других сотрудников скрываются, например, через употребление специальной формы с вырезанным окошком, через которое видны данные конкретного субъекта.

Если сотрудники разрешили сделать свои персданные, используемые в документах работодателя, общедоступными в согласии на обработку персональных данных, то ознакомление с коллективной формой производится открыто и свободно.

Это самый удобный и доступный вариант, не требующий особого раскрытия тайны, так как, например, в рамках одной организации, все знают ФИО своих коллег, их специальности, другие ПД.

Требования по ведению журналов, содержащих персональные данные, при неавтоматизированной обработке

Такие журналы заводят при пропускных режимах, когда субъекта ПД надо пропустить на территорию оператора. В них фиксируют ПД, требуемые для одного прохода. К таким типовым формам Постановление N 687 предъявляет следующие требования:

  • Иметь ЛНА, регламентирующий ведение журнала. В нем указываются цели обработки ПД, состав ПД, которые запрашиваются у субъекта, способы их фиксации.
  • Перечислить должности или ФИО ответственных лиц, допущенных к журналу, сроки обработки ПД.
  • Подробно расписывается механизм пропуска на территорию без подтверждения достоверности сведений, которые сообщает субъект.

Копирование из журналов при обработке ПД без использования средств автоматизации запрещено.

ПД субъектов вносятся в журнал в каждом случае пропуска не больше 1 раза.

Дистанционный курс по работе с ПД будет полезен и тем, кто применяет автоматизацию в своей деятельности, и тем, кто обрабатывает ПД вручную. Мы рассмотрим самые важные изменения в законодательстве и разъясним порядок применения нормативов.

Обучение первой помощи пострадавшему

Обучение по оказанию первой помощи — привычная форма, но есть значимые изменения. Она включает освоение знаний, умений, навыков, которые позволят сотрудникам оказывать пострадавшим помощь до приезда медиков при несчастных случаях на производстве, травмах, отравлениях и других состояниях, угрожающих их жизни и здоровью. Минимальная продолжительность — 8 часов. Программы должны содержать не менее 50% от общего количества учебных часов практических занятий.

Новые правила конкретизируют, кто должен учиться:

  • работники, ответственные за инструктажи по охране труда, в программу которых включены вопросы оказания первой помощи пострадавшим;
  • работники рабочих профессий;
  • водители;
  • лица, обязанные оказывать первую помощь в соответствии с требованиями НПА;
  • работники, к компетенциям которых НПА и ОТ предъявляются требования уметь оказывать первую помощь;
  • председатель и члены комиссий по проверке знаний требований охраны труда по вопросам оказания первой помощи;
  • лица, проводящие обучение по оказанию первой помощи пострадавшим;
  • специалисты по охране труда, члены комиссий и пр.

Когда будете формировать новый перечень профессий и должностей, в отношении которых надо организовывать обучение по первой помощи, проверьте себя по этому списку, чтобы не пропустить нужную категорию.

Обучение работников первой помощи проводится:

  • учебным центром;
  • работодателями с привлечением работников или иных специалистов, имеющих подготовку по оказанию первой помощи в объеме не менее 8 часов в соответствии с примерными темами обучения по оказанию первой помощи пострадавшим.

Пройти обучение в стороннем учебном центре обязаны:

  • председатель и члены комиссий по проверке знаний;
  • лица, проводящие обучение по оказанию первой помощи;
  • специалисты по охране труда.

Периодичность обучения по первой помощи:

  • для всех категорий — не реже одного раза в три года;
  • для вновь принимаемых на работу, а также переводимых на другую работу — в сроки, установленные работодателем, но не позднее 60 календарных дней после заключения трудового договора или перевода на другую работу.

Результаты проверки знаний с 1 сентября оформляйте протоколом проверки знаний. Если проверка знаний идет одновременно по нескольким программам, можете сделать общий протокол.

Как еще планируют ужесточить обработку персональных данных

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам:

  • использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
  • помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
  • деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Пять базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

Не пропустите новые

публикации

Согласно п. 2-11 ч. 1 ст. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

  • осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  • необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Трансграничные передачи

Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.

Что такое трансграничная передача данных? Это передача персональных данных оператором через государственную границу Российской Федерации органу власти, физическому или юридическому лицу иностранного государства. В Российской Федерации одним из критериев оценки государства с точки зрения организации им адекватного уровня защиты может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. , ETS № 108.

До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.

Присоединение иностранного государства к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г. ; с изменениями 1999 г. ) позволяет причислять его к числу тех, кто гарантирует вполне адекватную защиту.

Для обоснования адекватности защиты персональных данных при передаче их в зарубежный филиал компании необходимо реализовать ряд мероприятий, включая разработку документа (или нескольких), который отражает следующие основные моменты:

  • общие положения (организационная структура компании; страна (страны), в которую передаются персональные данные; цель передачи и обработки персональных данных за границей);
  • правовое обоснование трансграничной передачи персональных данных (перечень нормативно-правовых документов, на основаникоторых осуществляется передача и обработка персональных данных);
  • описание объекта защиты;
  • характеристики передаваемых персональных данных (категории персональных данных, отправляемых за границу; категории субъектов персональных данных; способы обработки данных: автоматизированная, неавтоматизированная, смешанная);
  • регламент обеспечения безопасного информационного обмена персональными данными с зарубежными филиалами (представительствами) (описание информационных систем персональных данных, из которых они передаются, а также ИСПДн, куда они передаются, перечисление каналов передачи данных, стандартов и протоколов передачи данных и т. д.). Описание мероприятий и средств обеспечения защиты передаваемых данных (организационные меры; технические средства защиты информации, в том числе криптографические);
  • состав законодательства иностранного государства, отражающего вопросы защиты персональных данных;
  • заключительные положения (обязательства зарубежного филиала соблюдать законодательство по обработке персональных данных страны, в которой он находится; обеспечивать соответствующую защиту полученных и обрабатываемых персональных данных, заверенные подписью ответственных лиц головной организации и зарубежного филиала).

Эти мероприятия позволят минимизировать риски реализации угроз для персональных данных при их трансграничной передаче, повысить ответственность должностных лиц за соблюдением установленных норм информационной безопасности.

Что нового для работодателей

Появляется новая обязанность — уведомлять о сборе и обработке данных, которые нужны для составления и исполнения трудового договора.

Правило распространяется не только на работников, но и на всех физических лиц. Например, когда персданные фиксируют для оформления разового пропуска на территорию предприятия.

Исключение — неавтоматизированная обработка данных. Если данные записывают в бумажный журнал, уведомлять Роскомнадзор не нужно.

Кроме этого работодатели в течение 10 дней должны:

  • уведомлять об изменении состава сведений, которые собираете. Например, если начали спрашивать у сотрудников об их семейном положении;
  • отвечать на запросы Роскомнадзора и сотрудников о том, собираете ли вы данные, и какие именно;
  • сообщать Роскомнадзору о прекращении обработки персональных данных.

Чтобы повысить защиту персональных данных, компании и предприниматели должны подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий кибератак на информационные ресурсы (ГосСОПК).

После подключения к системе вы считаетесь оператором персональных данных. Если произойдёт утечка данных, то в течение 24 часов нужно направить в ГосСОПК уведомление и назвать возможные причины утечки. В течение 72 часов операторы предоставляют отчёт о причинах и причастных лицах.

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Коротко о главном

  • С 1 сентября 2022 года работодатели уведомляют Роскомнадзор об обработке персональных данных сотрудников.
  • До 1 сентября уведомление сдают организации и ИП, которые уже обрабатывают персданные работников.
  • Форма уведомления утверждена Приказом Роскомнадзора от 30.05.2017 г. № 94.
  • Работодатели подключаются к ГосСОПК для защиты информации от утечки.
  • За нарушение правил ИП и должностных лиц штрафуют на , организации — от .

Статья актуальна на 

29. 2022

Конфиденциальность персональных данных

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания ПД;
  • в отношении общедоступных ПД;
  • если данные включают только ФИО субъектов ПД;
  • для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Сколько хранить?

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки.

Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Итак, постановление Правительства РФ 2007 г. № 781 утратило силу. В новом постановлении № 1119 объединены два проекта, один из которых определяет уровни защищенности информации, содержащей персональные данные, а второй — требования к их безопасности.

По сути дела, мало что изменилось. Та же оценка соответствия, тот же непонятный электронный журнал, те же требования об утверждении списка допущенных лиц, установлении режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Постановление определяет, что набор средств защиты оператор должен выбирать самостоятельно, основываясь на ранее принятых нормативных актах ФСБ и ФСТЭК.

Согласно документу, актуальными угрозами для безопасности персональных данных являются условия и факторы, создающие потенциаль-ную опасность несанкционированного доступа к базам данных при их обработке, в результате которого данные могут быть уничтожены, изменены, заблокированы или предоставлены третьим лицам, не имеющим к ним права доступа. Кроме того, в постановлении определены три типа угроз информационным системам, содержащим пользовательские базы данных, а также четыре уровня защищенности информационных систем.

Пункт 13 постановления № 1119 требует, чтобы в помещениях, где производится обработка персональных данных, был обеспечен режим безопасности в соответствии с 4-м (минимальным) уровнем защищенности. При выполнении этой нормы документа становится практически невозможным использование мобильных устройств для обработки персональных данных за пределами помещения, где обеспечен режим безопасности. Следовательно, применение сотрудниками ГИБДД, таможенниками или врачами планшетов и смартфонов за пределами своих офисов оказывается также неправомерным.

Теперь подробной классификации угроз нет, поэтому проводим их оценку самостоятельно и устанавливаем соответствующий уровень защищенности в целях их нейтрализации. Для обеспечения нужного уровня защищенности необходимо реализовать ряд организационных и технических мероприятий по выбору средств защиты информации, причем сделать это надо, ориентируясь на документы ФСБ и ФСТЭК.

Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.

Как накажут за нарушение правил

За обработку данных без уведомления Роскомнадзора штрафуют по ст. 7 КоАП РФ:

  • 300 – 500 ₽ — должностных лиц и ИП;
  • 3 000 – 5 000  — организации.

Скорее всего, в будущем штрафы увеличат. Пока что их оставили минимальными, чтобы дать бизнесу время на адаптацию к новым правилам.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т.

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Проверка знаний по охране труда

Новый порядок акцентирует внимание на том, что если сотрудник не прошел проверку знаний, его нельзя допускать к самостоятельной работе. Он обязан повторно пройти проверку в течение 30 календарных дней с даты первой попытки.

Результаты проверки знаний требований охраны труда в учебном центре и у работодателя оформляются протоколом на бумажном носителе или в электронном виде с использованием электронной подписи.

Обратите внимание: сейчас основным подтверждением того, что работник прошел обучение по соответствующим программам, является удостоверение о проверке знаний требований охраны труда. По новым правилам главную роль будет играть именно протокол. Выдавать или нет слушателю удостоверение, теперь учебный центр или работодатель, организующий внутреннее обучение, будут решать самостоятельно. В протоколе проверки знаний указывается:

  • полное наименование учебного центра или работодателя;
  • дата и номер приказа учебного центра или работодателя о создании комиссии по проверке знаний;
  • Ф.И.О. председателя, его заместителя и членов комиссии;
  • наименование и продолжительность программ обучения;
  • Ф.И.О., профессия, место работы лица, прошедшего проверку знаний требований охраны труда;
  • результат проверки знания требований охраны труда;
  • регистрационный номер записи о проверке знания требований охраны труда в реестре лиц, прошедших обучение в учебном центре и у работодателей, осуществляющих деятельность по обучению работников вопросами охраны труда.

Реестр пока не создан, это требование коснется работодателей и учебные центры только в 2023 году.

Добавить комментарий

Ваш адрес email не будет опубликован.