Цели обработки персональных данных в организации

Содержание

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др. Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков. Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании. Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать. У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных. Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров. Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет. Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия. Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ). К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ). С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.
Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны. Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Статьи по теме

Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

Цели, в которых запрашивают сведения, должны соответствовать закону и потребностям компании

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д. Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует Федеральный закон № 152 от 27.01.2006 «О персональных данных» во исполнение конституционного принципа защиты частной жизни (ст. 23 Конституции РФ, ст. 2 закона № 152). Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152). Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных. Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152). Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:
  1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.
  2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
  3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
  4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь — Правобот!

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:
  • быть исчерпывающим и конкретным;
  • соответствовать положениям устава, а также локальных актов организации;
  • соответствовать тому, какие цели компания преследует фактически.
Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:
  • открытие счета,
  • ведение счета,
  • операции по перечислению средств со счета и на счет,
  • консультирование клиента.
Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:
  • при работе с резюме соискателей;
  • для выполнения обязанностей компании в рамках трудового соглашения;
  • для соблюдения трудового, налогового и пенсионного законодательства;
  • для организации обучения сотрудников, повышения их профессионального уровня;
  • при расчете и начислении зарплаты;
  • для контроля качества работы сотрудников;
  • при предоставлении различных гарантий и льгот и т. д.
Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено. Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе. Методические рекомендации по составлению уведомления об обработке персональных данных Методические рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ( https://pd.rkn.gov.ru/operators-registry-documents/ )

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Угловой штамп, бланк организации Руководителю Управления Федеральной службы
по надзору в сфере связи,
информационных технологий и массовых коммуникаций
по Челябинской области
М.И. Олениной УВЕДОМЛЕНИЕоб обработке (о намерении осуществлять обработку) персональных данных1. Наименование ТО Роскомнадзора: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области 2.Тип оператора: Юридическое лицо, индивидуальный предприниматель, государственный орган, муниципальный орган, физическое лицо, иностранный гражданин 3.Наименование оператора / Фамилия, имя, отчество оператора:
  • Для юридического лица: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты; ИНН, ОГРН, Дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ; Наименование филиала(ов), осуществляющих обработку персональных данных, Адрес филиала(ов );
  • Для индивидуального предпринимателя: Наименование оператора, Документ, удостоверяющий личность, Телефон, Факс, Адрес электронной почты;
  • Для государственного органа, муниципального органа: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты;
  • Для физического лица: Фамилия, Имя, Отчество, Документ, удостоверяющий личность, СНИЛС, Телефон, Факс, Адрес электронной почты;
  • Для иностранного гражданина: Фамилия, Имя, Отчество, Гражданство, Документ, удостоверяющий личность, Адрес, Телефон, Факс, Адрес электронной почты.
Публичное акционерное общество «Челябэнергосбыт» (сокращенное – ПАО «Челябэнергосбыт»); Российская Федерация, 454091, г. Челябинск, ул. Российская, д. 260. ИНН 7451213318; ОГРН 1057423505732, 21.10.2005; ОКВЭД . ; ОКПО 74225849; ОКФС 41; ОКОГУ 41002; ОКОПФ 47. Если есть филиалы (в другом регионе), то указать – Новосибирский ф-л ПАО «Челябэнергосбыт», Российская Федерация, 630014, г. Новосибирск, ул. Кирова, 10, Ф.И.О. руководителя, тлф., ИНН, ОГРН, дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

4. Правовое основание обработки персональных данных (обязательное указание соответствующей статьи, пункта связанных с обработкой персональных данных): п. 2 ч. 2 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»; ст.ст. 86-90 Трудового кодекса РФ; п. 4.5 Лицензии № 33799 от 10.08.2005 г., выдана ПАО «Челябэнергосбыт» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию телематических услуг связи; п.3 Устава ПАО «Челябэнергосбыт» утверждённого на общем собрании акционеров 20.01.2006 г., протокол № 1. 5.Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии): Выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан обратившихся в ПАО «Челябэнергосбыт»; обеспечение кадрового резерва. 6.Описание мер, по обеспечению безопасности персональных данных, которые оператор обязуется осуществлять при их обработке: Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных. Технические меры : обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также по специально выделенной сети. Средства обеспечения безопасности : сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения. В случае использования оператором , осуществляющим обработку персональных данных, шифровальных (криптографических) средств (есть лицензия ФСБ на использование этих средств!) указываются следующие сведения: а) наименование, регистрационные номера и производителей используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года № 149/5-144. 7. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: Разработано и утверждено Положение по обработке персональных данных в ПАО "Челябэнергосбыт", приказами определены лица ответственные и допущенные к обработке персональных данных в ПАО "Челябэнергосбыт", приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, разработано и утверждено Положение о работе с персональными данными в информационной системе персональных данных, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки (*) . На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях – в сейфах (шкафах исключающих несанкционированный доступ). 8.Дата начала обработки персональных данных (число, месяц, год): 31.05.2009 г. 9. Срок или условие прекращения обработки персональных данных: ликвидация (реорганизация) ПАО «Челябэнергосбыт». 10.Категории персональных данных: непосредственно персональные данные (фамилия, имя, отчество; год, месяц, дата; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы); специальные категории ПД (расовая, национальная принадлежность, политические взгляды, религиозные, философские убеждения, состояние здоровья, состояние интимной жизни); биометрические ПД (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность – фото, отпечатки пальцев, ДНК и т.д.). Другие категории ПД (паспортные данные: где, кем, когда выдан; ИНН, СНИЛС, № контактного телефона). 11.Категории субъектов, персональные данные которых обрабатываются: физические лица, состоящие в договорных отношениях с ПАО «Челябэнергосбыт»; сотрудники ПАО «Челябэнергосбыт», с которыми заключены трудовые договоры; граждане обратившиеся в ПАО «Челябэнергосбыт» с жалобами, заявлениями; граждане направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей. 12. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Сбор, анализ, обобщение, хранение, изменение, дополнение, передача (без (или) с трансграничной передачей), уничтожение персональных данных. Автоматизированная / Неавтоматизированная / Смешанная обработка персональных данных; С передачей (без передачи) по внутренней сети юридического лица; С передачей (без передачи) по сети Интернет. 13. Осуществление трансграничной передачи персональных данных: О существляется (не осуществляется). 14. Использование шифровальных (криптографических) средств: Используется (не используется).

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

15. Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ: Страна, Адрес ЦОДа, Собственный ЦОД (Да / Нет). Адрес ЦОДа: Челябинская обл, Челябинск г, Российская ул, дом 260 Собственный ЦОД: Да. 16. Ответственный за организацию обработки персональных данных: Фамилия Имя Отчество (для физического лица) / Наименование организации (для сторонней организации), Номера контактных телефонов, почтовые адреса и адреса электронной почты : Иванов Иван Иванович, тел. 8(351) 000-00-00, 454091, г. Челябинск, ул. Российская, д. 260, E-mail: secr@esbt.ru. 17. Фамилия Имя Отчество исполнителя, Должность, Контактная информация исполнителя.(*) -Указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Постановлением Правительства РФ от 15.09.08 г. № 687, Постановлением Правительства РФ от 01.11.12 г. № 1119. Директорподпись(И.И. Иванов) дата Время публикации: 15.02.2011 08:01
Последнее изменение: 24.08.2017 15:33 © 2009-2019, Официальный интернет-ресурс Федеральной службы по надзору

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

в сфере связи, информационных технологий и массовых коммуникаций

Остались вопросы? Бесплатная консультация по телефону:

8 800 350-81-94
Круглосуточно
Читать еще:  Просьба погасить задолженность в кратчайшие сроки

Добавить комментарий

Ваш e-mail не будет опубликован.

Цели обработки персональных данных в организации

Содержание

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Деятельность по обработке персональных данных регулирует №152-ФЗ «О персональных данных». Он касается всех без исключения организаций, поэтому важно иметь представление об основных требованиях, которые он устанавливает.

1. Закон распространяется на все организации — и коммерческие, и бюджетные

Под персональными данными, как следует из ст. 3 №152- ФЗ, подразумевается любая информация, имеющая отношение к физлицу: информация, указанная в паспорте (ФИО, дата рождения, адрес регистрации, семейное положение и др.), а также сведения об образовании, занимаемой должности, зарплате и даже росте, весе, цвете глаз и др. Закон распространяется абсолютно на все организации. Поскольку в каждой организации есть работники, то их данные так или иначе используются при заключении трудового договора, начислении зарплаты и в других случаях. Персональные данные вносятся в личные дела сотрудников, которые хранятся у кадровиков. Под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2. Компании могут использовать данные различных категорий субъектов

С каждой из категорий субъектов персональных данных компанию связывает определенный тип правоотношений. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов, например, производственные компании. Так, компании из сферы услуг (автошколы, салоны красоты, парикмахерские, туристические агентства и др.) взаимодействуют с клиентами-физлицами, обрабатывая их персональные данные с целью предоставления, например, дисконтных карт. Интернет-магазины собирают данные физлиц, чтобы осуществлять доставку товаров. Существует определенная категория лиц, которая не является ни клиентами, ни работниками компании, однако она передает свои данные в организацию, где они хранятся и обрабатываются. К такой категории относятся соискатели, принимающие участие в конкурсе на вакансию и передающие потенциальному работодателю свои персональные данные в виде резюме или анкеты на сайте компании. Сотрудники могут работать в организации по договору подряда. Оформляя человека по такому договору, компания может не запрашивать у него сведений о семейном положении или ограничений по здоровью. В случае с работником, оформленным по трудовому договору, компания должна это делать. У товариществ собственников жилья нет ни работников, ни клиентов. Это сообщество, в котором состоят члены. Существуют и другие виды организаций с подобной структурой и без трудовых или гражданских правоотношений: общественные организации, политические партии, религиозные организации и др.

3. Обработке подлежат персональные данные, отвечающие целям их обработки

Важно понимать, какие данные каких субъектов используются, чтобы устанавливать цель обработки персональных данных. Организациям необходимо иметь представление не только о том, данные каких категорий субъектов они обрабатывают, но и с какой целью они это делают, исходя из специфики деятельности. Например, у интернет-магазина и автошколы цель обработки данных может заключаться в выполнении условий договора с клиентами.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Проверьте, насколько ваша организация готова к проверке Роскомнадзора

4. Необходимо знать, какие именно данные нужно использовать

Закон требует от компаний понимания, какие именно персональные данные в отношении каждой категории субъектов они обрабатывают. Очевидно, что если в случае с работником необходимо знать об ограничениях по здоровью для начисления социальных выплат, имеются ли у него дети до 18 лет, чтобы предоставить ему налоговый вычет, то в отношении клиента интернет-магазина, который заказал товар, эти сведения не нужны. В этом случае достаточно знать имя, адрес и телефон покупателя.
Закон запрещает обрабатывать персональные данные, которые не требуются для достижения цели их обработки.
Достигнув цели обработки данных, компания должна прекратить обработку этих данных. Так, если интернет-магазин осуществил доставку товара клиенту, то в дальнейшем ему уже не потребуются его номер мобильного телефона и адрес доставки.

5. Необходимо понимать, когда требуется согласие на обработку данных

Для каждой категории субъектов (работников, клиентов, соискателей и др.) определяется цель обработки данных. Порой эта цель заключается в выполнении требований определенных законов. В этом случае организация может абсолютно спокойно собирать данные соответствующей категории и обрабатывать их. Так, в отношении работников организации выполняют трудовое законодательство, многие кредитные и финансовые организации обязаны на своем официальном сайте публиковать сведения об аффилированных лицах, ОАО должно размещать у себя на сайте информацию о структуре акционеров. Если цель обработки данных какой-то категории субъектов установлена компанией самостоятельно, исходя из специфики деятельности, то она должна взять согласие об обработке персональных данных у субъекта данных (ст. 9 №152- ФЗ). Например, если компания принимает на работу сотрудника по трудовому договору, то по трудовому законодательству она должна знать, как его зовут, где он прописан, какое у него образование. И эти сведения компания может получать у человека без его согласия. Если же компания собралась выплачивать сотруднику зарплату на банковскую карту и планирует передавать сведения о нем в банк, то она обязана взять на это согласие, так как прямого требования передавать персональные данные в банк для выплаты заработной платы в законе нет. Если интернет-магазин после доставки товара планирует рассылать клиентам SMS-сообщения о скидках, то он должен заранее сформулировать эту цель и взять с клиентов согласие на использование данных именно с этой целью. В ч.1 ст.15 №152- ФЗ есть упоминание о том, что рекламные контакты с клиентами совершаются только с их согласия. Закон отдельно выделяет требования для данных, неправомерные действия с которыми могут нанести вред субъекту персональных данных. Речь идет о специальной категории персональных данных (ст. 10 №152- ФЗ) и биометрических персональных данных (ст. 11 №152-ФЗ). К биометрическим данным относятся сведения, которые отражают физиологические особенности человека и необходимы для установления его личности (например, если в компании используются системы контроля доступа). К специальной категории данных относятся сведения о национальной, расовой принадлежности, философских, политических и религиозных убеждениях, состоянии здоровья и интимной жизни. Эти данные выделяются в отдельную категорию, так как закон прямо запрещает их использовать, за исключением ряда случаев (один из них — если субъект дал на то свое письменное согласие).

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Отдельно закон говорит о передаче данных за границу (ст. 12 №152- ФЗ). С учетом всех базовых принципов, описанных выше, требования к обработке данных можно разделить на три больших блока (ст. 19 №152- ФЗ):

1. Правовые меры

Организация решает, как будет соблюдать законодательство, оформляет решение в виде внутренних документов, например, «Политики в отношении обработки персональных данных», издает приказ, в котором назначает ответственного за организацию процесса обработки персональных данных и т д.

2. Организационные меры

Эти меры связаны с деятельностью компании. Закон требует, чтобы «Политика в отношении обработки персональных данных» была доступна для всех категорий субъектов персональных данных. Ее рекомендуется размещать на информационном стенде, где с ней смогут ознакомиться не только работники, но и клиенты.
По закону любой субъект персональных данных может написать в компанию письмо с требованием уточнить, обрабатывает ли она его данные. Если обрабатывает, то какие данные, с какой целью и на каком основании. Также любой субъект имеет право потребовать прекратить обработку своих персональных данных.
Рассмотрение этого письма и подготовка ответа на него — деятельность, относящаяся к организационным мерам. О том, как отвечать на такие письма, уточняется в ст. 20-21 №152-ФЗ.

3. Технические меры

Связаны с использованием средств защиты информации. Это могут быть как примитивные средства — сургучовые печати, решетки на окнах, так и высокотехнологичные способы — антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа, средства криптографической защиты и др.

При обработке персональных данных организации следует:

  1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
  2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
  3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
  4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.
Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны. Игорь Луканин, руководитель продукта «Контур.Персональные данные»

Статьи по теме

Компания не может обойтись без получения личных сведений от работников, клиентов и контрагентов. Нужны фамилии, адреса, другая информация. Однако заниматься обработкой персональных данных компания вправе только в конкретных целях. Иное использование данных является нарушением, которое повлечет административные меры.

Цели, в которых запрашивают сведения, должны соответствовать закону и потребностям компании

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

В ходе ведения бизнеса компания имеет дело с информацией, которая нуждается в охране. К конфиденциальным относятся сведения о технологиях, проектах, разработках, о специфике сделок и т. д. Также закон обязывает защищать информацию о людях, которые работают в компании, являются ее клиентами или представляют контрагентов. Действует Федеральный закон № 152 от 27.01.2006 «О персональных данных» во исполнение конституционного принципа защиты частной жизни (ст. 23 Конституции РФ, ст. 2 закона № 152). Требования закона распространяются на любые организации, которые получают данные от их субъектов (ст. 1 закона № 152). Компания, которая приступает к обработке персональных данных, вправе затребовать их только с определенными целями (ч. 2 ст. 5 закона № 152). Кроме того, от целей зависит объем данных. Нельзя запрашивать сведения, которые компании не понадобятся (ч. 4 и 5 ст. 5 закона № 152). Например, интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

Компания сама определяет цели обработки персональных данных клиентов и сотрудников

Для чего именно потребовались сведения, определяет компания (п. 2 ст. 3 закона № 152). Как правило, персональные данные клиентов, контрагентов, сотрудников организация запрашивает в целях:
  1. Заключения договоров. Это могут быть договоры с потребителями услуг или товаров компании, с другими типами клиентов, с партнерами по бизнесу, трудовые соглашения и т. п. Для любого договора, который компания собирается подписать, потребуются личные данные – сотрудника, который выступает в ее интересах, представителя контрагента или самого контрагента, если это частное лицо. В том числе данные нужны, чтобы компания могла выполнить свои обязательства.
  2. Систематизации информации о персонале, ведении кадрового учета и делопроизводства. Данные работников необходимы не только для заключения трудовых договоров, но и для всех остальных операций в рамках трудовых отношений.
  3. Выполнения требований закона об отчислении налогов в бюджет, страховых взносов и т. д. Компания удерживает с работников НДФЛ, взносы и перечисляет эти суммы государству, в ПФР и другие организации (ст. 22 закона № 152, ст. 86 ТК РФ).
  4. Формирования статистики. Данные для этого необходимо обезличить (п. 9 ч. 1 ст. 6 закона № 152).

Гость, знакомьтесь — Правобот!

Компания обязана предупредить субъекта персональных данных о целях обработки

Компания обязана известить работника или клиента о том, с какой целью запрашивает его персональные данные в обработку (п. 4 ч. 4 ст. 9 закона № 152). Это делают в рамках получения согласия на предоставление информации. Список целей должен:
  • быть исчерпывающим и конкретным;
  • соответствовать положениям устава, а также локальных актов организации;
  • соответствовать тому, какие цели компания преследует фактически.
Например, сведения у клиента запрашивает банк. Цель обработки – обслуживание его счета, в том числе:
  • открытие счета,
  • ведение счета,
  • операции по перечислению средств со счета и на счет,
  • консультирование клиента.
Еще один пример информирования – перечисление целей обработки персональных данных сотрудников в политике компании. Организация закрепляет, что информацию используют:
  • при работе с резюме соискателей;
  • для выполнения обязанностей компании в рамках трудового соглашения;
  • для соблюдения трудового, налогового и пенсионного законодательства;
  • для организации обучения сотрудников, повышения их профессионального уровня;
  • при расчете и начислении зарплаты;
  • для контроля качества работы сотрудников;
  • при предоставлении различных гарантий и льгот и т. д.
Согласие на обработку необходимо получить у субъекта данных почти во всех случаях. Если цель сбора – продвижение компании на рынке или политическая агитация, оператор обязан доказать, что человек дал согласие (ч. 1 ст. 15 закона № 152). Иначе считается, что оно не было запрошено. Помимо соглашения с работником или клиентом, цели получения данных необходимо отразить в специальном документе – политике компании о работе с такими данными. Это должен быть общедоступный документ. Как правило, его публикуют на сайте организации в специальном разделе. Методические рекомендации по составлению уведомления об обработке персональных данных Методические рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных ( https://pd.rkn.gov.ru/operators-registry-documents/ )

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

Угловой штамп, бланк организации Руководителю Управления Федеральной службы
по надзору в сфере связи,
информационных технологий и массовых коммуникаций
по Челябинской области
М.И. Олениной УВЕДОМЛЕНИЕоб обработке (о намерении осуществлять обработку) персональных данных1. Наименование ТО Роскомнадзора: Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Челябинской области 2.Тип оператора: Юридическое лицо, индивидуальный предприниматель, государственный орган, муниципальный орган, физическое лицо, иностранный гражданин 3.Наименование оператора / Фамилия, имя, отчество оператора:
  • Для юридического лица: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты; ИНН, ОГРН, Дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ; Наименование филиала(ов), осуществляющих обработку персональных данных, Адрес филиала(ов );
  • Для индивидуального предпринимателя: Наименование оператора, Документ, удостоверяющий личность, Телефон, Факс, Адрес электронной почты;
  • Для государственного органа, муниципального органа: Полное наименование с указанием организационно-правовой формы, Сокращенное наименование; Телефон, Факс, Адрес электронной почты;
  • Для физического лица: Фамилия, Имя, Отчество, Документ, удостоверяющий личность, СНИЛС, Телефон, Факс, Адрес электронной почты;
  • Для иностранного гражданина: Фамилия, Имя, Отчество, Гражданство, Документ, удостоверяющий личность, Адрес, Телефон, Факс, Адрес электронной почты.
Публичное акционерное общество «Челябэнергосбыт» (сокращенное – ПАО «Челябэнергосбыт»); Российская Федерация, 454091, г. Челябинск, ул. Российская, д. 260. ИНН 7451213318; ОГРН 1057423505732, 21.10.2005; ОКВЭД . ; ОКПО 74225849; ОКФС 41; ОКОГУ 41002; ОКОПФ 47. Если есть филиалы (в другом регионе), то указать – Новосибирский ф-л ПАО «Челябэнергосбыт», Российская Федерация, 630014, г. Новосибирск, ул. Кирова, 10, Ф.И.О. руководителя, тлф., ИНН, ОГРН, дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

4. Правовое основание обработки персональных данных (обязательное указание соответствующей статьи, пункта связанных с обработкой персональных данных): п. 2 ч. 2 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ст. 53, ч. 2 ст. 54 Федерального закона от 07.07.2003 г. № 126-ФЗ «О связи»; ст.ст. 86-90 Трудового кодекса РФ; п. 4.5 Лицензии № 33799 от 10.08.2005 г., выдана ПАО «Челябэнергосбыт» Федеральной службой по надзору в сфере связи на осуществление деятельности по оказанию телематических услуг связи; п.3 Устава ПАО «Челябэнергосбыт» утверждённого на общем собрании акционеров 20.01.2006 г., протокол № 1. 5.Цель обработки персональных данных (то, что отражено в Уставе; Положении; Лицензии): Выполнение договорных обязательств; проведение расчетов с клиентами; ведение личных дел сотрудников; работа с жалобами, заявлениями граждан обратившихся в ПАО «Челябэнергосбыт»; обеспечение кадрового резерва. 6.Описание мер, по обеспечению безопасности персональных данных, которые оператор обязуется осуществлять при их обработке: Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных. Технические меры : обеспечение охраны помещений с базами персональных данных; информация передается на магнитных и бумажных носителях, а также по специально выделенной сети. Средства обеспечения безопасности : сейф, шкаф (запирающийся на ключ) для хранения носителей информации с персональными данными; наличие установленного антивирусного программного обеспечения. В случае использования оператором , осуществляющим обработку персональных данных, шифровальных (криптографических) средств (есть лицензия ФСБ на использование этих средств!) указываются следующие сведения: а) наименование, регистрационные номера и производителей используемых криптографических средств; б) уровень криптографической защиты персональных данных; в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

г) уровень защиты от несанкционированного доступа. Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра Федеральной службы безопасности Российской Федерации 21 февраля 2008 года № 149/5-144. 7. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации: Разработано и утверждено Положение по обработке персональных данных в ПАО "Челябэнергосбыт", приказами определены лица ответственные и допущенные к обработке персональных данных в ПАО "Челябэнергосбыт", приказом определены места хранения носителей, содержащих персональные данные, обеспечивается раздельное хранение материальных носителей, содержащих персональные данные, разработано и утверждено Положение о работе с персональными данными в информационной системе персональных данных, назначено должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе. Несанкционированный доступ к базам персональных данных исключён. Не контролируемое проникновение или пребывание посторонних лиц в помещениях, где ведётся обработка персональных данных, исключено. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки (*) . На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ). Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях – в сейфах (шкафах исключающих несанкционированный доступ). 8.Дата начала обработки персональных данных (число, месяц, год): 31.05.2009 г. 9. Срок или условие прекращения обработки персональных данных: ликвидация (реорганизация) ПАО «Челябэнергосбыт». 10.Категории персональных данных: непосредственно персональные данные (фамилия, имя, отчество; год, месяц, дата; место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы); специальные категории ПД (расовая, национальная принадлежность, политические взгляды, религиозные, философские убеждения, состояние здоровья, состояние интимной жизни); биометрические ПД (сведения, которые характеризуют физиологические особенности человека и на основании, которых можно установить его личность – фото, отпечатки пальцев, ДНК и т.д.). Другие категории ПД (паспортные данные: где, кем, когда выдан; ИНН, СНИЛС, № контактного телефона). 11.Категории субъектов, персональные данные которых обрабатываются: физические лица, состоящие в договорных отношениях с ПАО «Челябэнергосбыт»; сотрудники ПАО «Челябэнергосбыт», с которыми заключены трудовые договоры; граждане обратившиеся в ПАО «Челябэнергосбыт» с жалобами, заявлениями; граждане направившие резюме при устройстве на работу, для участия в конкурсе на замещение вакантных должностей. 12. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных: Сбор, анализ, обобщение, хранение, изменение, дополнение, передача (без (или) с трансграничной передачей), уничтожение персональных данных. Автоматизированная / Неавтоматизированная / Смешанная обработка персональных данных; С передачей (без передачи) по внутренней сети юридического лица; С передачей (без передачи) по сети Интернет. 13. Осуществление трансграничной передачи персональных данных: О существляется (не осуществляется). 14. Использование шифровальных (криптографических) средств: Используется (не используется).

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

15. Сведения о местонахождении базы данных информации содержащей персональные данные граждан РФ: Страна, Адрес ЦОДа, Собственный ЦОД (Да / Нет). Адрес ЦОДа: Челябинская обл, Челябинск г, Российская ул, дом 260 Собственный ЦОД: Да. 16. Ответственный за организацию обработки персональных данных: Фамилия Имя Отчество (для физического лица) / Наименование организации (для сторонней организации), Номера контактных телефонов, почтовые адреса и адреса электронной почты : Иванов Иван Иванович, тел. 8(351) 000-00-00, 454091, г. Челябинск, ул. Российская, д. 260, E-mail: secr@esbt.ru. 17. Фамилия Имя Отчество исполнителя, Должность, Контактная информация исполнителя.(*) -Указываются сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Постановлением Правительства РФ от 15.09.08 г. № 687, Постановлением Правительства РФ от 01.11.12 г. № 1119. Директорподпись(И.И. Иванов) дата Время публикации: 15.02.2011 08:01
Последнее изменение: 24.08.2017 15:33 © 2009-2019, Официальный интернет-ресурс Федеральной службы по надзору

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону 8 800 350-81-94 (консультация бесплатно), работаем круглосуточно.

в сфере связи, информационных технологий и массовых коммуникаций

Остались вопросы? Бесплатная консультация по телефону:

8 800 350-81-94
Круглосуточно
Читать еще:  Служебная записка о поломке оборудования образец

Цели обработки персональных данных в организации: 10 комментариев

  1. berkey

    Just want to say your article is as astounding. The clarity on your post is simply great and that i can think you’re a professional in this subject. Well together with your permission allow me to grasp your RSS feed to stay updated with impending post. Thanks a million and please carry on the rewarding work.|

  2. thefeed

    I’m truly enjoying the design and layout of your website. It’s a very easy on the eyes which makes it much more enjoyable for me to come here and visit more often. Did you hire out a designer to create your theme? Great work!|

  3. feed

    Hey I am so thrilled I found your site, I really found you by mistake, while I was looking on Aol for something else, Nonetheless I am here now and would just like to say thanks for a marvelous post and a all round entertaining blog (I also love the theme/design), I don’t have time to browse it all at the minute but I have saved it and also added in your RSS feeds, so when I have time I will be back to read a lot more, Please do keep up the great work.|

  4. the feed

    Hi there! I know this is kinda off topic but I’d figured I’d ask. Would you be interested in trading links or maybe guest authoring a blog post or vice-versa? My website covers a lot of the same subjects as yours and I think we could greatly benefit from each other. If you’re interested feel free to send me an email. I look forward to hearing from you! Fantastic blog by the way!|

  5. theragun g3pro

    My partner and I stumbled over here different page and thought I might as well check things out. I like what I see so now i’m following you. Look forward to looking over your web page again.|

Добавить комментарий

Ваш e-mail не будет опубликован.