Положение О Персональных Данных Клиентов И Соискателей 2021 Образец С Приложениями

Положение о персональных данных клиентов

1.11. Оператор – госорган, орган муниципального значения, ЮЛ, ФЛ, занимающиеся самостоятельной или совместной обработкой личных сведений клиентов, устанавливающие цели, для которых они обрабатываются, действия, совершаемые с ПДн. Компания считается Оператором в соответствии с этим документом.

  • анкетной информации о Клиенте;
  • регистрационной заявки от физлица;
  • договора;
  • документов Клиента, подтверждающих его личность (в копиях), прочей документации, предоставляемой Клиентом, в которых указаны его ПДн;
  • сведений об уплате предоставленных товаров, услуг с реквизитами, принадлежащими Клиенту;
  • адресной информации для доставки заказа в соответствии с договором;
  • переписки в электронном виде, записи ведения переговоров по телефону.

1.5. Применение ПДн – операции, выполняемые с использованием этой информации для принятия конкретных решений или с иной целью, в результате чего возникают последствия юридического характера, касающиеся носителей ПДн или иным способом касающиеся прав, свобод граждан.

  • требовать уточнить его личные сведения, заблокировать, уничтожить, если ПДн не являются полными, достоверными, полученными законным путем, не нужны для заявленных целей их обработки;
  • получать список ПДн, обрабатываемых Компанией, перечень источников, через которые Компания эти данные получает;
  • иметь доступ к сведениям о сроках обработки ПДн, включая срок их хранения;
  • требовать уведомить всех лиц, получивших неполные, недостоверные ПДн Клиента, о внесенных в них изменениях, дополнениях, уточнениях;
  • обжаловать в уполномоченном органе, защищающем права Клиента, в суде действия Компании, которые Клиент считает неправомерными, а также бездействия Компании, связанные с обработкой его ПДн.
  • на отстаивание в суде своих интересов;
  • на передачу данных Клиента третьей стороне в установленных законом случаях или с его согласия;
  • на отказ в предоставлении ПДн в предусмотренных законом случаях;
  • на применение ПДн Клиента без получения его разрешения в предусмотренных законом случаях.

Положение О Персональных Данных Клиентов И Соискателей 2021 Образец С Приложениями

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

  • Ф. И. О. субъекта персональных данных;
  • контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
  • наименование или Ф. И. О. и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
  • условия разрешения и запрета обработки персональных данных;
  • срок, в течение которого действует согласие;
  • сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
  • когда договор заключается непосредственно между банком и работником;
  • когда у работодателя есть доверенность на представление интересов работника в банке;
  • когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Положение о персональных данных работников — образец 2021 года

Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.

  • устанавливающим общие положения документа;
  • фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
  • определяющим перечень ключевых операций с персональными данными;
  • регламентирующим осуществление соответствующих операций;
  • определяющим порядок доступа работников фирмы и иных лиц к данным;
  • устанавливающим обязанности сотрудников, участвующих в операциях с данными;
  • устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
  • определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.

Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.

Нормы ст. 87 ТК РФ, а также п. 2 ст. 18.1 закона № 152-ФЗ предписывают работодателям регламентировать операции с персональными данными своих работников. Однако в отмеченных НПА, равно как и в других федеральных источниках права, четко не определено, каким именно образом данная обязанность должна выполняться. На практике это чаще всего осуществляется посредством разработки и утверждения фирмой внутрикорпоративного положения о персональных данных нанятых работников.

  • цели и задачи фирмы при работе с персональными данными;
  • перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
  • описание операций с данными, практикуемых компанией;
  • способы доступа к данным, используемые в фирме;
  • обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
  • права сотрудников фирмы на приобретение санкционированного доступа к данным;
  • правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.

3.1.1. Все персональные данные работника Организации следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Организации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение [4] .

2.3.1. Информация, представляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

— персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;

— использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

Читать еще -->  Производственная характеристика для медикосоциальной экспертизы образец 2 класс условий труда

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.

В Приказе об утверждении перечня информационных систем персональных данных (ИСПДн) указывается назначение системы, составляющей основную цель обработки персональных данных. Например, автоматизация процессов кадрового учета, процессов расчета заработной платы. Также в документе указываются категории и объем персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 №1119.

От оператора персональных данных необходимо отличать лицо, которое осуществляет обработку по поручению такого оператора (обработчик). Обработчиками обычно выступают организации оказывающие услуги на аутсорсинге, например, провайдеры облачных сервисов или аутсорсинг-бухгалтерия.

На ответственного за обеспечение безопасности персональных данных возлагаются функции администратора безопасности при обработке персональных данных оператором. Ответственный за обеспечение безопасности персональных данных действует в соответствии с утверждённой инструкцией.

Положение об обработке и защите персональных данных является одним из основных локальных актов оператора и определяет для каждой цели обработки таких данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований.

  • Поручение обработки персональных данных
  • Договор на обработку персональных данных
  • Договор обработки персональных данных
  • Дополнительное соглашение на поручение обработки персональных данных

Зачем нужен документ:

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

  • в случае обезличивания ПД;
  • в отношении общедоступных ПД;
  • если данные включают только ФИО субъектов ПД;
  • для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Согласие на обработку персональных данных

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, СНИЛС, свидетельство об образовании, медкнижку, военный билет и т.д. Как только эти бумаги попадают на стол специалиста по кадрам, они получают статус конфиденциальных (что обеспечивается статьей 14 Трудового Кодекса РФ), поэтому для их дальнейшего использования (а без этого в кадровом делопроизводстве никак не обойтись), необходимо заручиться письменным согласием работника (п. 8 ст. 65 ТК РФ).

Законодательство гласит о том, что представители организаций должны извещать Роскомнадзор об обработке поступивших в их распоряжение всех персональных данных (статья 22 закона № 152-ФЗ). Посмотреть, исполняет ли работодатель эту норму закона можно на сайте данной госструктуры.

Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.

Для того, чтобы оформить отзыв достаточно всего лишь написать заявление в свободной форме, потребовать в нем прекратить сбор, обработку, использование, хранение персональных данных и уничтожить всю информацию о подчиненном (сослаться надо на закон № 152-ФЗ: п. 1 ст. 9 и п. 5 ст. 22).

Я, Ковтун Инна Олеговна, паспорт 2495 564738, выдан Ленинским РОВД г. Иваново, адрес регистрации: г. Иваново, ул. Мельничная д.73, кв. 8, даю свое согласие ОАО «КомЖилФонд» на обработку моих персональных данных. Согласие касается фамилии, имени, отчества, данных о поле, дате рождении, гражданстве, типе документа, удостоверяющем личность (его серии, номере, дате и месте выдачи), а также сведений из трудовой книжки: опыте работы, месте работы и должности.

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Важно: Молчание работника и отсутствие возражений с его стороны не лишает работодателя обязанности по получению заверенного согласия на распространение информации. Согласно ст.10.1 Закона №152-ФЗ, если человек молчит, это не означает, что он согласен — разрешение нужно все равно получить.

  • передача информации в банк для оформления зарплатной карты;
  • размещение сведений о работнике на официальном сайте компании;
  • размещение фото, ФИО и прочих сведений на доске почета;
  • размещение заметок в бумажных и электронных СМИ;
  • передача данных работника охранной компании для выписка пропуска на территорию организации;
  • прочие случаи распространения информации в различных целях.
  • фамилия, имя, отчетство;
  • возраст;
  • дата рождения;
  • место рождения;
  • о полученном образовании;
  • о трудовой деятельности;
  • номера ИНН, СНИЛС;
  • паспортные реквизиты;
  • сведения о составе семьи, социальном статусе, гражданстве;
  • фотографии;
  • данные о состоянии здоровья и т.д.
Читать еще -->  Сколько ар в 1га

С 1 марта 2021 в Закон №152-ФЗ вносятся изменения на основании закона №519-ФЗ от 30.12.2020, который добавляет новую статью 10.1. Суть обновлений в том, что теперь работодателям нужно отдельно получать с персонала согласия на распространение персональных данных, к которому можно отнести любую передачу сведений третьим лицам, а также их размещение на различных ресурсах, печатном СМИ, в интернете.

  • название организации, ФИО руководителя, его должность — обычно пишется в правом верхнем углу;
  • свои ФИО, адрес регистрации, паспортные данные — также в правом углу;
  • название документа — согласие на обработку персональных данных в целях распространения;
  • ссылка на ст. 10.1 Закона 152-ФЗ, где содержится обязательство предоставлять разрешение на распросранение информации;
  • согласие на передачу сведений организации;
  • конкретная цель распространения — например, размещение информации в СМИ;
  • список данных, которые заявитель разрешает распространять;
  • срок предоставления согласия;
  • дата составления;
  • подпись заявителя.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

3.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Персональные данные работников организации хранятся на бумажных и электронных носителях (к доступу имеется определенный код), в специально предназначенных для этого помещениях.
3.3.

Согласие на обработку данных работодатель разрабатывает самостоятельно. При этом в согласии указываются те действия, которые компания вправе совершать с ПД сотрудника (закон №152-ФЗ). Подписать согласие работник должен еще до того, как подпишет трудовой договор. Согласие должно быть добровольным со стороны работника.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

  1. Российская компания имеет филиалы на территории Европы.
  2. Российская компания действует по поручению европейской компании и отвечает перед ней за обработку персональных данных.
  3. Российская компания работает не только на территории России, но и направлена на европейского потребителя. Например, интернет-магазин предлагает продажу товаров в Европу, при этом одновременно выполняются два условия:
  1. сайт доступен на языках стран ЕС;
  2. предусмотрены расчеты в евро.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.

Вторым новшеством, которое касается некоторых работодателей, можно назвать введение Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» нового правового понятия: «Персональные данные, разрешенные субъектом персональных данных для распространения». Это понятие расширило перечень специальных категорий ПД, установленных статьей 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

  • Полные личные данные работника (Ф.И.О.).
  • Сведения о месте и дате появления его на свет.
  • Адрес фактический и по регистрации.
  • Социальное, семейное, имущественное положение.
  • Имеющиеся у работника образование, профессия.
  • Сведения о получаемых сотрудником доходах и т. д.

— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса или иного федерального закона. При отказе Работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме Работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

Приказ Министерства культуры России от 25.08.2010 №558 устанавливает, что сами сведения в отношении работников, в том числе личные дела, заявления, личные карточки, хранятся в течение 75 лет, в отношении руководителей – постоянно. Результаты обработки информации о среднем возрасте, об образовании, стаже сотрудников государственной службы хранятся постоянно.

— передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Ссылка на основную публикацию