Оговорка о персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Оговорка о персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных
2. Нормативная база о персональных данных
3. Особенности работы с персональными данными
4. Что подразумевают под персональными данными
5. Могут ли контрагенты требовать персональные данные сотрудников другой организации
6. III. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7. V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8. Бухгалтерская отчетность по данным Росстата
9. Почему нужно проверять контрагентов
10. Нюансы, которые нужно принимать во внимание
11. Как проверяет Роскомнадзор?
12. Организовываем работу

Во-первых, как поясняет Ирина Ахмедова, чтобы важная для компании информация попала, например, под закон о коммерческой тайне, юрлицо должно ввести определенный режим внутри своей организации: «Руководителю компании нужно принять положение о коммерческой тайне, определить уровни доступа к информации, установить меры защиты, способы передачи информации и прочее», — поясняет Ахмедова.

Проведя работу над ошибками, команда поняла, что правильнее будет все же дублировать инфраструктуру в защищенной зоне и скопировать лишь файлы с данными. Было принято решение не требовать от заказчика доплаты за дополнительные серверные мощности, которые пришлось развернуть для завершения миграции.

В результате, когда кластеры в защищенной зоне были полностью продублированы, миграция прошла без проблем.

Далее требовалось лишь разделить сети защищенной и незащищенной зон. Здесь обошлось несколькими незначительными перебоями в работе. Этап тестирования всей системы в защищенной зоне без какой-либо защиты удалось запустить в штатном режиме. Собрав положительную статистику работы системы в таком режиме, мы перешли к последнему этапу: запуску систем защиты и ограничению доступа.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Что подразумевают под персональными данными

В Федеральном законе №152-ФЗ произошли изменения. Согласно новой редакции от 14.07.22, оператор больше не вправе осуществлять сбор персональных данных без уведомления уполномоченного органа. С 1 сентября 2022 года юрлица и индивидуальные предприниматели обязаны сообщить в Роскомнадзор о том, что намерены их обрабатывать.

К персональным данным в этом случае относят информацию, которую:

  • получают и обрабатывают в рамках ТК РФ и иных федеральных законов, касающихся трудовых отношений;
  • получают при заключении договоров с физлицами, используют только внутри компании и не предоставляют данные третьим лицам;
  • разрешено распространять с согласия физлица;
  • будут использовать в качестве пропуска физлица на территорию компании и аналогичных ситуациях.
Читайте также:  Биржа труда после увольнения по собственному желанию выплаты в 2023 году

К ним также относятся личные сведения:

  • содержащие в себе только Ф.И.О. физлица;
  • касающиеся участников общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями.

Могут ли контрагенты требовать персональные данные сотрудников другой организации

Закона N 152-ФЗ). Таким образом, обработка персональных данных контрагентов — физических лиц (в том числе являющихся индивидуальными предпринимателями), с которыми непосредственно у организации заключены договоры поставки (либо оказания услуг и пр.), может осуществляться без согласия на обработку персональных данных и без уведомления уполномоченного органа при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях заключения с ними соответствующих договоров (определение СК по гражданским делам Московского городского суда от 06.04.2012 N 33-8687). Если же организация намерена осуществлять обработку персональных данных в иных случаях, не связанных с исполнением договора, то она обязана получить согласие на обработку персональных данных.

6.1. Оператор обрабатывает персональные данные соискателей вакантных должностей (далее — соискателей).

6.2. Оператор обрабатывает персональные данные соискателей с целью:

  • принимать решения о приёме либо отказе в приёме на работу;
  • вести кадровый резерв.

6.3. Оператор обрабатывает персональные данные соискателей с их письменного согласия, предоставляемого на срок, необходимый для принятия решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор, а также при самостоятельном размещении соискателем своего резюме, доступного неограниченному кругу лиц, в сети Интернет.

6.4. Оператор обрабатывает персональные данные соискателей в течение срока, необходимого для принятия решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу Оператор прекращает обработку персональных данных соискателя в течение 30 дней в соответствии с ч. 4 ст. 21 ФЗ «О персональных данных».

6.5. Оператор не обрабатывает специальные категории персональных данных соискателей и биометрические персональные данные соискателей.

6.6. Оператор обрабатывает следующие персональные данные соискателей:

  • Фамилия, имя, отчество;
  • Год, месяц и дата рождения;
  • Адрес регистрации;
  • Номер контактного телефона;
  • Адрес электронной почты;
  • Фотография;
  • Образование, специальность;
  • Профессия;
  • Сведения о трудовом и общем стаже.

III. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Все Работники, имеющие доступ к персональным данным Клиентов или Контрагентов, обязаны подписать соглашение о неразглашении персональных данных.

3.2. Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.

3.3. Клиенты или Контрагенты до предоставления своих персональных данных должны быть ознакомлены с настоящими Положением.

3.4. Защите подлежит:

  • информация о персональных данных субъекта;
  • документы, содержащие персональные данные субъекта;
  • персональные данные, содержащиеся на электронных носителях.

V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:

5.2.1 Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами

Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Работодатель обязан отказать в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

Читайте также:  Что полагается за третьего ребенка?

5.2.2 Предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

5.2.3 Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.

5.2.4 Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.

5.2.5 Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.

5.2 В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации).

5.3 Все сведения о передаче персональных данных Клиентов или Контрагентов регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

Бухгалтерская отчетность по данным Росстата

Бухгалтерская отчетность является открытой для пользователей – учредителей (участников), инвесторов, кредитных организаций, кредиторов, покупателей, поставщиков и др. Организация должна обеспечить возможность ознакомиться с бухгалтерской отчетностью. (п. 42 ПБУ 4/99 «Бухгалтерская отчетность организации»). Досье контрагента позволяет получить и проанализировать бухгалтерскую отчетность российских организаций за 2012 и 2013 годы по данным базы Росстата.

В раздел Бухгалтерская отчетность попадает вся имеющаяся в базе Росстата отчетность контрагентов (рис. 4), в том числе отчетность субъектов малого предпринимательства (МП) и социально ориентированных некоммерческих организаций (СО НКО). В этот же раздел попадает расчет чистых активов, автоматически выполненный программой согласно Порядку, утвержденному Приказом Минфина РФ от 28 августа 2014 г. № 84н. Чистые активы определяются по данным бухгалтерской отчетности («ненулевой»), представленной за последние три года.

Почему нужно проверять контрагентов

Есть две основные причины, из-за которых необходимо каждого поставщика проверять на специальных сайтах.

  • Первая — обезопасить компанию от недобросовестных контрагентов. Поставщик может нарушить условия договора: не предоставить товар, привезти заказ позже назначенного срока, выполнить некачественно услуги. С помощью проверки можно узнать, что компания уже нарушала договоры в прошлом, и не потерять деньги и время.
  • Вторая — избежать блокировки расчетного счета. Согласно №115-ФЗ, банки могут заблокировать счет компании, которая была заподозрена в связи с ненадежными контрагентами. Поэтому всех поставщиков необходимо постоянно проверять до заключения договора.

Нюансы, которые нужно принимать во внимание

Разбираясь, как хранить персональные данные клиентов, следует учесть:

  1. Выполнив заказ на поставку товара или предоставление услуги, организация должна в течение 30 дней после завершения сделки (либо после закрытия, предусмотренного договором окна по срокам) уничтожить собранные и хранимые ПДн
  2. Запрещается передача идентифицирующих сведений о гражданах третьим лицам, за исключением случаев, прописанных в ФЗ-152
  3. Для добавления в клиентскую базу с целью дальнейшего сотрудничества нужно получить у субъекта бессрочное согласие. При этом нужно принимать в расчет, что гражданин может в любой момент отозвать его, подав соответствующее заявление
  4. Формирование базы данных должно осуществляться для выполнения какой-то одной цели сбора и обработки информации
Читайте также:  Общая характеристика преступлений против половой неприкосновенности

Как проверяет Роскомнадзор?

Существуют плановые и внеплановые проверки, которые проводятся как в отношении тех организаций, которые включены в реестр Роскомнадзора, так и тех, что не включены. Плановые проверки более безобидные, так как о том, что вас проверят, оповестят заранее (не позднее чем за три дня), а по внеплановым проверкам — всего за 24 часа. Роскомнадзор в конце каждого года публикует на своем сайте план проверок на следующий календарный год и проверяет в соответствии с ним.

Для организации все начинается с уведомления, которое приходит по почте России. В нем Роскомнадзор уведомляет о намерении проверить и кратко сообщает, что именно будет проверять. Также в уведомлении сообщается состав проверочной комиссии, дата и срок выездной проверки. Срок проверки обычно составляет 20 рабочих дней, но это не значит, что все 20 дней у вас будет сидеть комиссия, а говорит лишь о дедлайне проверки. Комиссия, как правило, приезжает всего 2-3 раза: первый раз — запросить документы, второй раз — забрать документы и третий раз — выдать акт о проверке с замечаниями и предписанием на устранение нарушений. Нередко сразу выписываются протоколы об административных правонарушениях.

По факту объем запрашиваемых документов и методика самой проверки сильно варьируются в зависимости от того или иного территориального управления Роскомнадзора.

Кратко порядок проверки выглядит так:

  1. Уведомление оператора о проведении плановой проверки путем направления копии приказа руководителя Роскомнадзора о проверке почтой России. Уведомление должно поступить оператору не позднее трех рабочих дней до начала ее проверки (при плановой проверке), что очень мало, чтобы успеть к ней подготовиться.
  2. Далее в указанный в уведомлении день проверки приезжает комиссия, как правило, в составе 2-3 человек для осуществления государственного контроля.
  3. На месте проверки комиссия запрашивает и рассматривает документы, имеющиеся у оператора «под рукой», и выдает список документов для предоставления оператором до окончания срока проверки. Непредоставление оператором запрошенных документов расценивается как несоответствие требованию закона, и выписывается штраф, а также предписание на устранение нарушений.
  4. По результатам рассмотрения представленных оператором к проверке документов Роскомнадзор составляет акт проверки, предписание об устранении выявленных нарушений, а также протоколы об административных нарушениях в отношении оператора.
  5. По окончании срока предписания об устранении выявленных нарушений назначается повторная внеплановая проверка. В случае неустранения нарушений деятельность организации приостанавливается.

Организовываем работу

Требования к организации работы с персональными данными клиентов, по сути, те же, что и к организации работы с персональными данными сотрудников. Подробнее об этом читайте на с. 13 — 19 журнала N 2, 2015. Причем в зависимости от специфики оператора стоит учитывать те или иные нормы подзаконных нормативных актов. Например, в Постановлении Правительства РФ от 01.11.2012 N 1119 устанавливаются требования к уровню защищенности персональных данных при обработке в информационной системе, если оператор обрабатывает биометрические или иные специальные категории ПД более чем 100 тыс. субъектов ПД, не являющихся сотрудниками оператора. Однако в этом случае кадровой службе вряд ли поручат обработку ПД клиентов.

Имейте в виду: несмотря на то что работа с ПД и клиентов, и работников регулируется одним Законом N 152-ФЗ, регламентирование данной работы на уровне организации должно происходить с учетом того, что базы данных клиентов представляют коммерческую ценность. А работа с такой информацией регулируется также Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Примечание. См. статью «Устанавливаем режим коммерческой тайны» на с. 11 журнала N 11, 2014.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *