Организуем работу с персональными данными сотрудников

Является ли ваша организация оператором персональных данных?

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)? Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)? У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Журнал учета выдачи персональных данных работников организациям и государственным органам

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Право сотрудника защищать личные данные

Работник вправе знакомиться со всеми документами, который издает работодатель в сфере организации работы с персональными данными. А в соответствии с частью 1 ст. 89 ТК РФ работодатель обязан ознакомить работника с такими документами. Конкретный порядок доступа к такой информации работодателю желательно установить в каком-либо локальном акте – приказе, положении, распоряжении и т.п.

Работник в любое время вправе получить копию любой записи, содержащей его персональные данные. Причем свободно и бесплатно. Поэтому нельзя воспринимать отказ выдать какой-то документ, где фигурируют данные человека. В силу ст. 62 по заявлению о документах, связанных с работой, работник имеет право получить в течение 3 дней любой документ, связанный с работой. Будь то приказ об увольнении, выписка с трудовой книжки, справки о заработной плате и т.п.

Работник вправе получить доступ медицинской документации (по состоянию здоровья), с помощью любого медицинского работника. Также он может требовать исправления данных о себе, если они недостоверны или указаны неполно (ст. 89 ТК РФ).

Административная ответственность за разглашение персональных данных.

С 1 июля 2021 г. увеличатся штрафы за нарушение Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Нежданно-негаданно

Однако, как обычно бывает на проектах в относительно новой области, случилось то, чего не ждали.
Поскольку каждая виртуальная машина занимает 500 — 1 000 ГБ, копирование таких объемов даже в рамках одного дата-центра заняло около 3-4 часов на каждую машину. Как итог, мы не уложились в отведенное временное окно. Это произошло по причине физических ограничений дисковой подсистемы при переносе данных в vCloud.

Баг используемой версии vCloud не позволил организовать Storage vMotion в отношении виртуальной машины с разными типами дисков, поэтому диски пришлось менять. В результате перенести виртуальные машины получилось, но это заняло больше времени, чем планировалось. Второй момент, который мы не предусмотрели, — ограничения по перемещению кластера БД (Failover Cluster MS SQLServer). В результате пришлось перевести кластер в работу с одним узлом и оставить его за рамками защищенной зоны.

Примечательно: по до сих пор непонятной причине в результате переноса виртуальных машин рассыпался кластер приложений, и его пришлось собирать заново.

В результате первой попытки мы получили неудовлетворительное состояние систем и вынуждены были заново браться за планирование и проработку вариантов.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1.	Уведомление об обработке персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.	Изменения в уведомление об обработке персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
3.	Приказ Об организации обработки персональных данных.
4.	Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
5.	Согласие субъекта персональных данных на обработку его персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. Читайте также: Ответственность за нарушение кассовой дисциплины в 2021 году ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
6.	Согласие в письменной форме субъекта персональных данных на обработку его персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
7	Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных.
8.	Документы, определяющие политику оператора в отношении обработки персональных данных. Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
9.	Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.	Документы по организации приема и обработке обращений и запросов субъектов персональных данных. Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. Читайте также: Не забудьте подать в Пенсионный фонд форму СЗВ-М на единственного учредителя-директора
12.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации. Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона “О персональных данных”. Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
13.	Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Основание: Приказ ФСТЭК от 18 февраля 2013 года № 21. 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
14.	Документы о классификации информационных систем. Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.
15.	Типовые формы документов. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться определенные условия.
16.	Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.
17.	Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
18.	Документы, по обеспечению безопасности персональных данных с использованием СКЗИ. Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности”. П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационная система) с использованием средств криптографической защиты информации (далее – СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
19.	Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20.	Документы, устанавливающие порядок обработки персональных данных работников. Основание: ТРУДОВОЙ КОДЕКС РФ от 30 декабря 2001 года № 197-ФЗ. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников.
21.	Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ. Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

ВАЖНО! Для справки рекомендуется ознакомиться с документом:

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678 “Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации”

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

№ п/п	Наименование документа	№ документа, дата
1.	Акт классификации и определения уровня защищенности ИСПДн “Бухгалтерия”.
2.	Акт определения уровня защищенности ИСПДн “________”.
3.	Акт определения уровня защищенности ИСПДн “……”.
4.	Акт о выделении к уничтожению документов, неподлежащих хранению.
5.	Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6.	Акты уничтожения персональных данных.
7.	Описание информационной системы персональных данных “Сотрудники”.
8.	Описание информационной системы персональных данных “Клиенты”.
9.	Описание информационной системы персональных данных “…..”.
10.	Модель угроз безопасности персональных данных при их обработке в ИСПДн “Сотрудники”.
11.	Модель угроз безопасности персональных данных при их обработке в ИСПДн “Клиенты”.
12.	Модель угроз безопасности персональных данных при их обработке в ИСПДн “…..”.
13.	Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14.	Инструкция пользователя информационной системы персональных данных.
15.	Инструкция об организации антивирусной защиты.
16.	Инструкция администратора безопасности информационной системы персональных данных.
17.	Инструкция администратора информационной системы персональных данных.
18.	Инструкция пользователя при обработке персональных данных без средств автоматизации.
19.	Инструкция по эксплуатации машинных носителей информации.
20.	План внутренних проверок режима защиты персональных данных.
21.	Политика обработки Персональных данных образец
22.	Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23.	Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО “….”.
24.	Положение об обеспечении безопасности персональных данных.
25.	Положение об обработке персональных данных в ООО “….”.
26.	Положение об ответственном за обработку персональных данных в ООО “….”.
27.	Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ “О персональных данных”.
28.	Положение о комиссии ООО “….” по вопросам информационной безопасности, состав комиссии.
29.	Приказ о начале обработке персональных данных.
30.	Приказ об ответственных и комиссии по информационной безопасности.
31.	Приказ о назначении сотрудников, имеющих доступ в персональным данным. – список сотрудников.
32.	Приказ утверждающий перечень мест хранения материальных носителей персональных данных. – перечень мест хранения ИСПДн.
33.	Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34.	Приказ о контролируемой зоне: – Схема границ. – Список лиц, имеющих право вскрывать помещение. – Список лиц, имеющих находиться в помещение.
35.	Перечень персональных данных.
36.	Перечень информационных систем персональных данных.
37.	Согласие сотрудника на обработку его персональных данных.
38.	Согласие клиента на обработку его персональных данных.
39.	Согласие …. на обработку его персональных данных.
40.	Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41.	Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42.	Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43.	Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44.	Журнал учета и выдачи машинных носителей персональных данных.
45.	Журнал учета проверок, проводимых органами государственного контроля (надзора).
46.	Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47.	Журнал регистрации входящих конфиденциальных документов.
48.	Журнал регистрации исходящих конфиденциальных документов
49.	Журнал регистрации и выдачи печатей опечатывающих устройств.
50.	Журнал инвентарного учета документов ограниченного распространения.
51.	Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52.	Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53.	Журнал учета хранилищ (сейфов).
54.	Журнал учета ключевой информации.
55.	Журнал учета движения материальных носителей персональных данных.
56.	Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57.	Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

паспортные данные;
семейное положение;
сведения об образовании;
номер страхового свидетельства обязательного пенсионного страхования;
сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Обратите внимание

Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

Не раздавать свою конфиденциальную информацию посторонним.
При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать

. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Существует ли точный список информации, являющейся персональными данными?

Да, есть строго установленные категории с точным списком данных, которые относят к персональным. Но в зависимости от сферы применения тех или иных данных они могут не подпадать под раздел конфиденциальных.

Следовательно, если вы осуществляете сбор этих данных в качестве оператора, позаботьтесь о получении разрешения на использования полученной информации

. Ведь при возникновении судебного спора ответчик должен иметь возможность доказать, что обрабатываемая информация была получена по согласованию сторон.

Обязательство о неразглашении

Все сотрудники, имеющие отношение к работе с частными сведениями, составляют и подписывают соглашение об их неразглашении по образцу, который им предоставляется в отделе кадров. Образец обязательства о неразглашении можно найти на тематических сайтах.

Как правило, в нем указываются:

ФИО, должность сотрудника;
письменное обязательство не передавать сведения о сотрудниках посторонним лицам, принимать необходимые меры по защите персональных данных, уведомлять руководство о фактах несанкционированного доступа к конфиденциальным сведениям и т. д.;
ответственность за нарушение соглашения;
подпись сотрудника, подтверждающая пройденный инструктаж о порядке работы с информацией, касающейся личности работника.

Справка: после прекращения права допуска к частной информации, сотрудники, подписавшие соглашение, на протяжении одного года не имеют права передавать полученные сведения третьим лицам.

Общие положения

1.1. Настоящий Регламент разработан в соответствии с требованиями Федерального закона «О персональных данных» № 152-ФЗ.

1.2. Настоящим Регламентом определяется порядок обращения с персональными данными покупателей-клиентов ООО «Две Створки» (далее – Компания).

1.3. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Компании и клиентов в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.

1.4. Персональные данные клиента — любая информация, относящаяся к конкретному субъекту персональных данных и необходимая Компании.

1.5. Сведения о персональных данных клиентов относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:

в случае их обезличивания;

по истечении 75 лет срока их хранения;

в других случаях, предусмотренных федеральными законами.