Порядок передачи персональных данных третьим лицам

Что такое согласие на передачу персональных данных третьим лицам?

Порядок передачи персональных данных третьим лицам

При взаимодействии с разными организациями граждане подписывают согласие на обработку своих персональных данных. Одним из пунктов такого документа является согласие на передачу своих персональных данных оператором третьим лицам (третьей стороне).

Зачем передавать персональные данные третьим лицам?

Третьими лицами могут быть организации или сотрудники оператора обработки персональных данных, которые участвуют в правоотношениях гражданина (субъекта данных) и оказывающей услуги организации.

Третьи лица могут выполнять непосредственные обязанности по договору (например, по трудовому договору), а также оказывать дополнительные услуги, сопутствующие или дополнительно возникающие при реализации условий договора.

Многие организации гордятся своими дополнительными трудовыми условиями под названием “социальный пакет”.

В социальный пакет может входить дополнительное медицинское обслуживание, спортивный отдых, обеспечение досуга сотрудников и многое другое, что является дополнительным и может обеспечиваться сторонними организациями, которым потребуются персональные данные сотрудников. Организация, в которой сотрудники работают, может передать их персональные данные на основании разрешения о передаче этих данных третьим лицам.

Передача данных третьим лицам в трудовых отношениях может быть осуществлена при использовании работодателем услуг кадрового или бухгалтерского аутсорсинга, проведении исследований эффективности менеджмента сторонними специалистами и другое.

Третьим лицам не нужно получать разрешение на обработку персональных данных у сотрудника организации, передавшей его данные в связи с какой-нибудь целью.

Особенности оформления согласия на передачу персональных данных третьим лицам

О чем не нужно волноваться?

Иногда субъект персональных данных опасается того, что выдавая разрешение на передачу персональных данных третьим лицам организация сразу начнёт их распространять, вплоть до продажи разным организациям – это ошибочное мнение.

В Федеральном законе “О персональных данных” закреплён принцип целевой обработки данных – это означает, что при получении согласия на обработку персональных данных оператором должны быть обозначены цели, в соответствии с которыми возможна обработка.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.статья 5 Федерального закона от 27.07.2006 №152-ФЗ.

Оператор обработки персональных данных не может передавать персональные данные граждан любым третьим лицам по любому запросу, а может осуществлять только передачу данных для целевых обработок, обозначенных при заключении договора и получении согласия субъекта на обработку персональных данных.

Условия передачи персональных данных третьим лицам должны быть указаны конкретно и полно в тексте письменного согласия. В таком согласии должно быть указано каким организациям и в каких целях будет передаваться персональная информация. Любая передача данных, являющаяся дополнительной для осуществления правоотношений (трудовых, гражданских), должна быть сформулирована в тексте согласия.

Если в тексте согласия указано просто “передача данных третьим лицам”, то это неполная формулировка условий обработки данных, которая может подразумевать передачу персональных данных только для выполнения существенных условий договора (трудового или гражданского).

Существенными условиями являются такие условия, без которых невозможна реализация правоотношений по заключённому договору.

Для получения организацией данных о сотруднике или клиенте другой организации (проверка данных) или передаче персональных данных по запросу другим организациям нужно письменное согласие этого сотрудника или клиента, позволяющее установить факт информированности субъекта о целях и объеме передачи его персональных данных.

Дополнительные материалы по теме этой статьи:

  • Можно ли уволить работника за отзыв согласия на обработку персональных данных?
  • Что нужно знать об управлении согласием на обработку персональных данных?

5 марта 2020 года (редакция текста 28 июня 2020 года).

юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/chto-takoe-soglasie-na-peredachu-personalnyh-dannyh-tretim-licam-5e60e78397b4e60aa6191588

Как составить локальные акты по персональным данным в 2020 году – Институт Профессионального Кадровика

Порядок передачи персональных данных третьим лицам
3 Сентября

630

#CNT# data-template-html-inactive=В избранное #CNT#>

Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.

Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.

Пример

  • Регламент, утверждающий общие тезисы защиты ПнД;
  • Положение об обработке ПД на бумаге и в инфосистеме;
  • Инструкции, регламентирующие хранение, предоставление ПД, назначение и функции ответственных, работу с личными сведениями при нахождении в зоне ответственности оператора посторонних.

Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:

  1. Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
  2. Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.

Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.

Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.

В локальном акте допустимо расписать права и обязанности:

  • работодателя — оператора ПнД;
  • работника — субъекта ПД.

По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.

Пример

  • обработка ПнД в ИСПДн;
  • использование ПД при оформлении бланков документов;
  • передача ПД в госструктуры (ФСС, ПФР, ФНС), в третьи организации (банки, страховщики, отели);
  • принятие решения в отношении соискателя и т.д.

Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:

  • проанализируйте фактическую деятельность предприятия;
  • изучите устав — там указаны основные направления работы;
  • отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.

Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.

Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.

При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.

Пример перечня должностей и перечня документов с персональными данными

Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.
СоветМы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие.

Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.

В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:

  • Инспекции труда;
  • Прокуратура РФ;
  • Правоохранительные органы;
  • Налоговики;
  • Военные комиссариаты;
  • Отделы миграционного учета иностранных граждан;
  • другие.

Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.

Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:

  • название, месторасположение;
  • цели передачи и объем переданных сведений;
  • операции с ПнД;
  • механизмы и правила обработки;
  • требования к защите.
СоветМы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту.
ПримерУсловия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. 

Пример реестра персональных данных и действий по их обработке

Ст. 5, п.5 No152-ФЗ посвящена:

  • соразмерности объема и характера полученных данных объявленным целям;
  • запрещению избыточности ПДн.

Об этом будет следующий раздел локального акта.

ПримерЕсли объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. 
Важно!Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД.

В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.

СоветПараллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов.

Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.

Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:

Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:

  • установление аутентичности субъектов и объектов доступа;
  • наблюдение за допусками;
  • защита носителей, хранящих / обрабатывающих ПД;
  • наблюдение за событиями;
  • обследование защищенности ПД;
  • обеспечение невредимости ИС и информации;
  • доступность ПД;
  • защита технических ресурсов и др.

Полностью состав этих мер приводит Приказ ФСТЭК No 21.

Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:

  • с достигнутой целью обработки;
  • вместе с действием согласия на обработку ПД/его отзыва;
  • согласно нормам об архивном деле.
СоветРекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте.
Важно!Напоминаем — базы данных личных сведений работников локализуются в России

В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:

  • для обработки спецкатегорий ПД;
  • работа с биометрией;
  • содержащие общедоступные данные;
  • все остальные (исключая специальные, биометрические, общедоступные);
  • только перс данные работников оператора.

В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.

Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.

Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:

  • системном ПО – 1 тип;
  • прикладном ПО – 2 тип;
  • в системном и прикладном ПО – 3 тип.

Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.

Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности —  пунктах 13 -16.

Помимо регламентации порядка передачи ПД третьим лицам, политика обработки и защиты персональных данных определяет действия ответственных лиц при нахождении посторонних на территории.

Сотрудники, уполномоченные на работу с ПД, обеспечивают такое поведение третьих лиц (соискателей, деловых партнеров, курьеров и т.д.), чтобы полностью исключить несанкционированный доступ к ПД.

Этот порядок закрепите в Регламенте о ПД пошагово.

Опишите в локальном акте правила доступа к тем личным данным, которые обрабатываются в инфосистемах. Укажите способы регистрации и учета всех операций с конфиденциальной информацией.

В соответствии с законом зафиксируйте в ЛНА действия оператора на требование работника (других субъектов ПД) о корректировке, удалении, уничтожении (и т.д.) обрабатываемых персональных данных.

Здесь же опишите порядок действий при отзыве согласия на обработку ПД.

СоветРекомендуем включить во внутренний нормативный документ способы реагирования на обращения как субъектов персданных (их представителей), так и органов, контролирующих обработку ПД на предприятиях.

Отдельно распишите действия на запросы по поводу неточности, неправомерности обработки, отзыва согласия, доступа субъекта к данным. Разработайте и включите в Регламент соответствующие формы для подобных обращений.

К утвержденному локальному акту по политике обработки персональных данных предоставьте неограниченный доступ. Это достигается публикацией документа на сайте компании, внутренних интернет-ресурсах, размещением бумажной копии на стендах, другими способами.

Скачайте Положение об обработке и защите персональных данных работников образец

 

Источник: https://profkadrovik.ru/articles/working-conditions/politika-obrabotki-personalnykh-dannykh-v-lokalnykh-aktakh-organizatsii/

Меры по защите персональных даных сотрудников — Audit-it.ru

Порядок передачи персональных данных третьим лицам

Юлия Бронских, начальник отдела безопасности «Джон Дир Русь»

Источник: Журнал “Директор по безопасности”

Что такое персональные данные?

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: http://www.rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

•  список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.

Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: https://www.audit-it.ru/articles/personnel/a112/766303.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.