Что такое персональные данные
Скачать 296.39 Kb.
|
| ОГЛАВЛЕНИЕ: Что такое персональные данные Кто работает с персональными данными в ОАО «РЖД» Каковы требования по обработке персональных данных Письменная форма согласия на обработку персональных данных Предоставление персональных данных работников третьим лицам Проведение инспекционных проверок Какая ответственность предусмотрена за нарушение правил обработки и хранения персональных данных Термины и определения Какими документами регулируется работа с персональными данными Правила работы внутренних пользователей в информационных системах ОАО «РЖД» Информационные системы, в которых работает специалист по управлению персоналом ОАО «РЖД» Данная памятка подготовлена с целью информирования работников по управлению персоналом подразделений ОАО «РЖД» о наиболее часто встречающихся вопросах в области обработки персональных данных работников ОАО «РЖД». Памятка может быть использована для ознакомления и других сотрудников, использующих в работе персональные данные работников ОАО «РЖД». Материал составлен на основе законодательства РФ и локальных нормативных актов. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ : Персональные данные - это любая информация о человеке, позволяющая однозначно определить, о каком именно лице идет речь. Статья 3 Закона № 152-ФЗ определяет персональные данные как (любую) информацию, прямо или косвенно относящуюся к субъекту персональных данных (то есть физическому лицу). И если речь идет о работнике (субъекте персональных данных), то к категории персональных данных может быть отнесена информация о его: фамилии, имени, отчестве; дате и месте рождения; адресе (месте регистрации); семейном, социальном и имущественном положении; образовании, профессии; доходах, имуществе и имущественных обязательствах; прочих сведениях, которые могут однозначно идентифицировать человека. Например, «Иванов Сергей Валерьевич» - не является персональными данными. «Иванов Сергей Валерьевич, дата рождения: 25.12.1980» в совокупности уже являются персональными данными, так как позволяют понять о ком именно идет речь. При этом существует несколько категорий персональных данных, и правила их обработки различны: 1. Персональные данные, опубликованные общекорпоративных источниках информации Персональные данные, включенные в общедоступные источники персональных данных (корпоративные справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных включаются: фамилия, имя, отчество; место работы; занимаемая должность; номера стационарных и мобильных рабочих телефонов; адреса корпоративной электронной почты; фотография работника. К документам, содержащим подобные данные можно отнести, например. Приказ о назначении на должность, телефонный справочник подразделения, график отпусков или приказ о командировании работника. К этой категории данных имеют доступ все работники ОАО «РЖД» и обрабатываются они без дополнительных ограничений. 2. Персональные данные ограниченного доступа Персональные данные, за исключением опубликованных в общекорпоративных источниках информации, специальных и биометрических персональных данных. К документам, содержащим подобные данные можно отнести, например, справку НДФЛ-2, справку-объективку, карточку Т-2, трудовой договор, и другие основные кадровые документы. Работники, имеющие доступ к этой категории являются уполномоченными на обработку персональных данных (см. раздел «Кто работает с персональными данными в ОАО« РЖД»») и должны подписать Обязательство о неразглашении персональных данных. Также для данной категории определены отдельные правила хранения и передачи (см. разделы «Каковы требования по обработке персональных данных», «Предоставление персональных данных работников третьим лицам»). 3. Специальные персональные данные Категория персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка указанной категории данных не допускается, за исключением случаев, предусмотренных законодательством РФ (ч. 2 ст. 10 Закона № 152-ФЗ). Обработка персональных данных работников ОАО «РЖД», касающихся состояния здоровья, осуществляется в соответствии с требованиями Федеральных законов «О персональных данных», «Об основах охраны здоровья граждан в Российской Федерации», Правилами технической эксплуатации железных дорог РФ и другими законодательными актами, регулирующими безопасность на железнодорожном транспорте. 4. Биометрические персональные данные Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, отпечатки пальцев. Такие сведения могут быть обработаны только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством РФ (ч. 2 ст. 11 Закона №152-ФЗ). В ОАО «РЖД» подобные персональные данные, как правило, не обрабатываются. Относится ли фотография работника к персональным данным? В действующем законодательстве прямо не установлено, что фотография относится к персональным данным. Однако работодатель не может использовать фотографию работника без его согласия. Исходя из определения персональных данных, которое дано в Законе о персональных данных, нельзя однозначно сказать, является ли фотография сама по себе персональными данными. Как следует из смысла Закона, под персональными данными понимается информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В этом Законе фотография прямо не указана как объект, на основании которого можно идентифицировать человека (п. 1 ст. 3 Закона о персональных данных). Следовательно, отнести ее к персональным данным, вероятнее всего, нельзя. Тем не менее, согласно ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина допускаются только с его согласия. Соответственно, использование фотографии человека (в т.ч. работника) без его согласия не допускается. Поэтому в тексте шаблона Согласия работника ОАО« РЖД» на обработку персональных данных включен отдельный пункт об использовании фотографии. Что такое обработка персональных данных? В законодательных документах используется общий термин «обработка персональных данных». Согласно ч. 3 ст. 3 Закона № 152-ФЗ обработка персональных данных - это любое действие (операция), совершаемое с персональными данными с использованием средств автоматизации или без использования таких средств (на бумаге). Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных или любую совокупность этих действий. Таким образом, даже если Вы сохранили на компьютере резюме кандидата на должность, или распечатали и передали руководителю справку-объективку, или подтвердили по телефону, что Иванов Иван Иванович работает в Вашем подразделении в должности заместителя начальника отдела, Вы занимаетесь обработкой персональных данных. Каковы обязательные документы ОАО «РЖД» по обработке персональных данных Защита персональных данных, в том числе предполагает, что в каждой компании должен существовать ряд документов, регулирующих обработку персональных данных. Уведомление об обработке персональных данных. Прежде чем приступить к обработке персональных данных, каждая компания должна уведомить об этом территориальный орган Роскомнадзора (ч. 1 ст. 22 Закона № 152-ФЗ). В его адрес необходимо направить специальное уведомление в бумажном или электронном виде (ч. 3 ст. 22 Закона № 152-ФЗ). ОАО «РЖД», как оператор, реализует право на обработку персональных данных без уведомления уполномоченного органа на основании пп. 1, 2, 7, 9 ч. 2 ст. 22 Закона о персональных данных, о чем проинформировано территориальное управление Роскомнадзора в январе 2014 года. Положение о защите персональных данных работников ОАО «РЖД» !• (утверждено приказом ОАО «РЖД» № 60 от 20 июля 2016 г.) Все сотрудники ОАО «РЖД» должны быть ознакомлены с положением под роспись (ч. третья ст. 68, п. 8 ст. 86 ТК РФ). Этот локальный акт должен быть в каждой организации (ст. 87 ТК РФ) и включать перечень документов компании, которые содержат персональные данные, определять внутренний (для работников организации) и внешний (для представителей других компаний и государственных органов) порядок доступа к таким данным, а также требования к порядку их сбора, передачи, хранения и уничтожения. Все эти требования учтены в новой редакции Положения об обработке и защите персональных данных работников ОАО «РЖД» (утверждено приказом ОАО «РЖД» № 60 от 20 июля 2016 г.). Письменное согласие работника на обработку персональных данных Такое согласие должен дать каждый работник ОАО «РЖД» (п. 1 ч. 1 ст. 6, ч. 4 ст. 9 Закона № 152-ФЗ). Подписанное согласие хранится в личном деле работника. Подписанное согласие номенклатурного работника хранится в соответствующем подразделении, формирующем его личное дело. В случае внутритранспортного перевода работника письменное согласие на обработку его персональных данных и их передачу третьим лицам, полученное по прежнему месту работы, повторно не оформляется, а передается на новое место работы по акту приема-передачи вместе с другими документами по правилам, установленным приказом ОАО «РЖД» от 12 сентября 2005 г. № 137 «Об утверждении порядка оформления перевода работников ОАО «РЖД» на другую постоянную работу в ОАО «РЖД». 8 Если работник отказывается дать согласие на обработку своих данных, ОАО «РЖД» имеет право продолжать обрабатывать их без его разрешения, но только для исполнения возложенных на ОАО «РЖД» обязанностей (оформления трудовых отношений, передачи сведений в ПФР, ФСС России, обеспечение безопасности движения поездов др., см. раздел III Порядка обработки и обеспечения режима защитып ерсональных данных работников ОАО« РЖД», утв. Приказом ОАО« РЖД» от 20.07.2016 № 60, и Приложение № 4 к Порядку). Работодатель не имеет права наказать и тем более уволить работника за отказ от дачи такого согласия, неразглашении персональных обязательств о данных работника, которые имеют доступ к персональным данным других работников, обязаны не разглашать данные, которые стали им известны в связи с выполнением ими трудовых обязанностей. От каждого сотрудника, который работает с персональными данными (начиная с категории 2 «Персональные данные ограниченного доступа»), необходимо получить письменное обязательство об их неразглашении. Обязательство о неразглашении персональных данных может быть сформировано из ЕКА СУТР. Подписанное обязательство хранится в личном деле работника. Подписанное обязательство номенклатурного работника хранится в соответствующем подразделении, формирующем его личное дело. При изменении должности работника, если он продолжает работу с персональными данными, обязательство требуется переподписать. Также необходимо обновить должностную инструкцию, указав в ней, что работник имеет доступ к персональным данным других работников, осуществляет их обработку и обязан не разглашать содержащую персональные данные информацию, которая стала ему известна в связи с исполнением трудовых обязанностей. Привлечение к ответственности сотрудников за разглашение персональных данных возможно, только если они стали ему известны в связи с исполнением должностных обязанностей, и они давали обязательство не распространять такие сведения {п. 43 постановления Пленума Верховного Суда РФ от 17 марта 2004 г. № 2). КТО РАБОТАЕТС ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ОАО« РЖД» В каждом подразделении ОАО «РЖД» должен быть назначен работник, которому поручено организовывать обработку персональных данных в подразделении. Для филиалов и структурных подразделений ОАО «РЖД» это работник из числа заместителей руководителя подразделения, для остальных подразделений - работник, назначенный руководителем подразделения. Руководитель подразделения назначает ответственного за организацию обработки персональных данных отдельным приказом (Приложение №2 Порядка обработки и обеспечения режима защиты персональных данных работников ОАО «РЖД»). Ответственный обязан следить за правильностью оформления всех документов, необходимых для обработки подразделением персональных данных. Уполномоченные работники - это работники ОАО «РЖД», имеющие допуск к персональным данным субъектов персональных данных. К работникам ОАО «РЖД» относятся также практиканты, студенты, учащиеся, проходящие практику на рабочих местах без оплаты, или трудоустроенные на непродолжительный срок и не имеющие должностных инструкций, в том числе из авторских классов, а также прикомандированные лица, ранее не занимавшиеся обработкой персональных данных. Каждый работник компании, который имеет право для исполнения должностных обязанностей просматривать, хранить или иным образом обрабатывать персональные данные в объеме, большем, чем предусматривает телефонный справочник компании (Ф.И.О., должность, контактные данные: см. категория 1) является уполномоченным. Прошлое типовое Положение о защите персональных данных предусматривало две категории: лиц, уполномоченных производить автоматизированную и неавтоматизированную обработку персональных данных работников, лиц, которым доступ к персональным данным работников необходим для выполнения должностных обязанностей В новой редакции все они объединены в одну категорию уполномоченных. Таким образом, в ОАО «РЖД» уполномоченными на обработку персональных данных являются: ^ все руководители подразделений ОАО «РЖД» и их заместители; ^ все работники подразделений по управлению персоналом; ^ секретари подразделений (например, в случае если они занимаются оформлением командировок); ^ бухгалтеры и специалисты по оплате труда (для расчета заработной платы); -7 работники Главного вычислительного центра и Центральной станции связи (обслуживание средств вычислительной техники); -7э кономисты (для формирования штатного расписания); 7 юристы, ревизоры по безопасности движения, аудиторы и работники других профессий (для рассмотрения отдельных случаев, связанных с конкретным работником); 7 сотрудники охраны (для оформления пропусков); 7 работники, связанные с обслуживанием клиентов ОАО «РЖД» (если они имеют допуск к данным пассажиров или грузоотправителей); 7 и другие работники, которые имеют доступ к персональным данным. Каждый уполномоченный должен подписать «Обязательство о неразглашении персональных данных». Все уполномоченные перед началом исполнения должностных обязанностей должны ознакомиться с законодательством и нормативными документами ОАО «РЖД» в области обработки персональных данных и неукоснительно исполнять их {см. раздел «Какая ответственность предусмотрена за нарушение правил обработки и хранения персональных данных»). После подписания обязательства уполномоченные работники имеют право просматривать и работать с персональными данными, которые необходимы им для выполнения трудовых обязанностей. Также в каждом подразделении необходимо иметь Список работников, уполномоченных на обработку персональных данных. КАКОВЫ ТРЕБОВАНИЯ ПОО БРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты. Для исполнения этого требования в каждом подразделении в соответствии с Порядком должны быть дополнительно оформлены следующие типы документов: Список помещений, в которых хранятся материальные носители персональных данных Под материальными понимаются носителями персональных данных распечатанные документы, которые содержат персональные данные (справки-объективки, личные дела работников, реестры сверки проезда по транспортным требованиям и т.д.); все компьютеры, подключенные к ИТ-системам, содержащим персональные данные флешки или компакт-диски, поставленные на учет, как содержащие персональные данные. Внимание! помещения, в которых хранятся распечатанные документы, которые содержат персональные данные, должны быть защищены от несанкционированного доступа (запираться на ключ и находиться на охраняемой территории). Если это требование невозможно выполнить в настоящий момент, документы должны храниться в специальном запирающемся шкафу. |
Похожие:
 | Я и выдачи амбулаторных карт (медицинской карты пациента, получающего медицинскюу помощь в амбулаторных условиях) и иной медицинской... | | |
| Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) информирует Вас, что... |  | Положение о порядке ознакомления и выдачи амбулаторных карт (истории развития ребенка ф. 112/У) и иной медицинской документации,... |
| Цель: формировать у школьников представления о семье и роде как источниках нравственных отношений | | Пенсионный фонд, а также проверка файлов актуальными проверочными программами. Все данные по организации сохранятся и могут быть... |
| | Часто на сайтах, предлагающих работу, а также же на собеседовании работодатель предлагает соискателю показать свое портфолио. Это... | |
| Готовиться мы начали в январе 2015 г. Самым сложным в процессе подготовки было переписать документы в программном продукте, учитывая... | | ... |