Защита персональных данных: с чего начать и какие документы необходимо разработать
Безусловно, каждое предприятие самостоятельно формирует свою организационную структуру или согласно законодательству заключает соответствующие хозяйственные договоры на осуществление тех или иных собственных функций другими лицами. Соответственно на каждом предприятии будет свой порядок работы с персональными данными работников. Однако общая схема организации работы с персональными данными наемных работников во многих аспектах будет одинаковой. В статье предложены образцы Порядка обработки персональных данных в базе персональных данных, согласие работника на обработку персональных данных, уведомление о включении персональных данных в БПД, обязательство относительно сохранности информации с ограниченным доступом, а также изменения, которые должны быть внесены в положения о структурных подразделениях и в должностные инструкции работников.
Закон Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI (далее — Закон № 2297) вступил в силу 1 января 2011 года. Этот Закон регулирует отношения, связанные с защитой персональных данных физических лиц при их обработке. Действие Закона не распространяется на деятельность по созданию баз персональных данных (БПД) и обработки персональных данных в этих базах:
физическим лицом — исключительно для непрофессиональных личных или бытовых нужд;
журналистом — в связи с исполнением им служебных или профессиональных обязанностей;
профессиональным творческим работником — для осуществления творческой деятельности.
Субъектами отношений, связанных с персональными данными, является:
субъект персональных данных;
владелец БПД;
распорядитель БПД;
третье лицо;
уполномоченный государственный орган по вопросам защиты персональных данных;
другие органы государственной власти и органы местного самоуправления, к полномочиям которых принадлежит осуществление защиты персональных данных.
Владельцем или распорядителем БПД могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, обрабатывающие персональные данные в соответствии с законом.
Субъекты, в отношении которых осуществляется обработка персональных данных
Такими субъектами являются:
граждане;
наемные работники;
должностные лица;
плательщики налогов и сборов;
клиенты;
покупатели;
потребители;
абоненты;
пациенты;
пассажиры, родители;
субъекты отношений в сфере страхования;
субъекты финансовых отношений;
субъекты отношений в сфере рекламы (рекламодатели, рекламоразработчики, распространители, потребители);
члены политических партий/ общественных/ религиозных организаций;
воспитанники заведений образования (учащиеся, студенты, абитуриенты, курсанты, слушатели, стажеры, аспиранты, докторанты, выпускники и пр.);
другие физические лица, предоставляющие собственные персональные данные при реализации своих прав или обязанностей.
Обрабатываемые персональные данные
Сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, являются персональными данными.
Обрабатываются следующие данные:
идентификационные данные (имя, адрес, телефон и т. д.);
паспортные данные;
личные сведения (возраст, пол, семейное положение и т. д.);
состав семьи;
образование;
профессия, специальность, квалификация;
биометрические данные (рост, вес, особые приметы и т. д.);
психологические данные (личность, характер и т. д.);
жилищные условия; образ жизни, жизненные интересы и увлечения;
потребительские привычки;
финансовая информация;
электронные идентификационные данные (трафик, IP-адреса и т. д.);
электронные данные о локализации (GSM, GPS и т. д.);
запись изображений (фото, видео);
звукозапись;
другие персональные данные.
База персональных данных
Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; предоставляемые им сведения о себе.
Таким образом, сведения о работниках, отображенные в кадровых документах, в частности о возрасте, дате и месте рождения, местожительстве, идентификационном номере, социальном статусе, льготах в соответствии с законом (одинокие матери, женщины с детьми в возрасте до трех лет или другого возраста детей, «чернобыльцы», несовершеннолетние, пенсионеры и т. д.), с точки зрения Закона № 2297 считаются персональными данными, которые в своей совокупности составляют БПД или ее часть.
Соответственно документация предприятий, учреждений и организаций в электронной форме и/или в форме картотек, которая содержит определенным образом структурированные персональные данные наемных работников, считается БПД или ее частью.
Квалификационный класс, сведения о штрафах, а также список работников со ссылкой на их специальные квалификационные документы, сертификаты, награды или ученое звание, список клиентов, подписчиков и т. д. также являются БПД.
Обратить внимание. Баз персональных данных у предприятия может быть несколько. Государственная служба Украины по вопросам защиты персональных данных рекомендует рассматривать кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая составляется работодателем и содержит персональные данные работников, базой персональных данных или ее составляющей.
Следует заметить, что в соответствии со статьей 8 Закона № 2297 личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, являются неотъемлемыми и нерушимыми.
ШАГИ 1–4. Разработка проектов Порядка обработки персональных данных в БПД, согласие на обработку персональных данных, уведомление о включении персональных данных в БПД, обязательство относительно сохранности информации с ограниченным доступом
Работа на предприятии, в учреждении, организации по защите персональных данных физических лиц (наемных работников, должностных лиц, налогоплательщиков и т. д.) может начинаться с устного или письменного распоряжения руководителя, который назначает ответственных за эту работу лиц. Она заключается в изучении соответствующих нормативно-правовых документов, анализе внутренних локальных документов и хозяйственно-правовых отношений с физическими лицами — работниками и неработниками, юридическими лицами, контрагентами, клиентами и т. д. Устанавливается цель и наличие законных или других оснований для обработки персональных данных физических лиц, а уже в соответствии с целью определяется количество баз персональных данных.
Безусловно, каждое предприятие самостоятельно формирует свою организационную структуру или согласно законодательству заключает соответствующие хозяйственные договоры на осуществление тех или иных собственных функций другими лицами. Соответственно на каждом предприятии будет свой порядок работы с персональными данными работников. Однако общая схема организации работы с персональными данными наемных работников во многих аспектах будет одинаковой. Нижепредложенные образцы документов могут использоваться работниками кадровых служб предприятий, учреждений и организаций всех форм собственности, которым в соответствии с КЗоТ и других нормативно-правовых актов физические лица предоставляют свои персональные данные, при разработке собственных соответствующих документов. В предложенных образцах документов база данных условно названа «база персональных данных «Персонал».
Образцы документов
ПОРЯДОК обробки персональних даних у базі персональних даних «Персонал» • Згода на обробку персональних даних • Повідомлення про включення персональних даних до бази персональних даних • Зобов’язання щодо збереження інформації з обмеженим доступом
ШАГ 6. Внесение изменений в положения о структурных подразделениях
В положения о структурных подразделениях, ответственных за обработку персональных данных и их защиту, должны быть внесены соответствующие изменения.
О Кадровом подразделении
В разделе «Завдання»:
«Організація роботи щодо обробки персональних даних працівників підприємства в базі персональних даних «Персонал» та їх захисту від незаконної обробки та незаконного доступу до них».
В разделе «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині особових справ працівників, особових карток працівників, наказів (розпоряджень) про прийняття на роботу та переведення, копій звітів форми № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, електронних баз даних «Кадри» та «Штатно-посадове розміщення». Забезпечує захист персональних даних працівників підприємства, які обробляються. Здійснює контроль за виконанням відповідних функцій керівниками структурних підрозділів, відповідальних за організацію робіт з обробки персональних даних та їх захисту в частині окремих складових бази персональних даних «Персонал».
О Подразделении бухгалтерского учета и отчетности
В разделе «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині розрахунково-платіжних відомостей працівників, листків тимчасової непрацездатності працівників, копій звітів форми № 1-ДФ, щодо сум нарахованого єдиного соціального внеску, про здійснення відрахування та виплати за виконавчими документами, інших звітів, що містять персоніфіковані дані працівників, та електронної бази даних «Оплата праці». Забезпечує захист персональних даних працівників підприємства, які обробляються».
О Подразделении охраны
В разделе «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині інформації, розміщеної в електронній базі даних «Перепустка». Забезпечує захист персональних даних працівників підприємства, які обробляються».
О Подразделении информационно-организационного обеспечения
В разделе «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині інформації, розміщеної в електронній базі даних «Телефон». Забезпечує захист персональних даних працівників підприємства, які обробляються».
О Подразделении информационных ресурсов и технологий
В разделе «Функції»:
«Здійснює заходи із захисту персональних даних бази персональних даних «Персонал», розміщених в електронних базах даних «Кадри», «Штатно-посадове розміщення», «Перепустка», «Телефон», «Оплата праці».
Для всех ответственных структурных подразделений
В разделе «Взаємовідносини»:
«Взаємодіє у встановленому порядку з працівниками структурних підрозділів, відповідальних за обробку персональних даних працівників підприємства в базі персональних даних «Персонал» та їх захист».
ШАГ 7. Внесение изменений в должностные инструкции работников
В должностные инструкции работников, ответственных за обработку персональных данных физических лиц и их защиту от незаконной обработки и незаконного доступа к ним, также вносятся соответствующие изменения.
В должностные инструкци руководителей структурных подразделений
В разделе «Завдання та обов’язки»:
«Організовує виконання робіт щодо обліку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині функцій, покладених на структурний підрозділ. Здійснює контроль за дотриманням працівниками структурного підрозділу законодавства України з питань персональних даних фізичних осіб та встановленого на підприємстві порядку обробки персональних даних».
В должностные инструкции работников структурных подразделений, ответственных за обработку персональных данных
В разделе «Завдання та обов’язки»:
«Виконує роботи з обліку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині функцій, покладених на структурний підрозділ (или: в частині ведення особових справ працівників, особових карток працівників, підготовки проектів наказів про прийняття на роботу та переведення, підготовки звітів форми № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, а також ведення електронних баз даних «Кадри» та «Штатно-посадове розміщення»)».
В должностные инструкции всех работников, ответственных за обработку персональных данных и их защиту
В разделе «Відповідальність»:
«Несе відповідальність за збереження інформації про персональні дані працівників, відображеної в базі персональних даних «Персонал».
В разделе «Повинен знати»:
«Законодавство України, яке регулює порядок обробки та захист персональних даних фізичних осіб, внутрішні положення та інші розпорядчі документи підприємства з цих питань».
Статья предоставлена нашему порталу редакцией журнала
Ласкаво просимо
Реклама
