Кто такие операторы и что они делают

В статье 3 закона № 152-ФЗ сказано, что оператором является лицо, которое организует и осуществляет обработку персональных данных. Все работодатели, как юрлица, так и ИП, являются такими операторами по умолчанию, круг остальных лиц, которые приобретают этот статус, практически не ограничен. Это любое лицо, которому человек доверил информацию о себе, подписав согласие на обработку персональных данных на сайте или в бумажном варианте. Отдельное внимание уделим понятию обработки личной информации. О ней везде говорят, но никто толком не знает, что это такое. Тогда как часть 3 все той же статьи 3 закона № 152-ФЗ регламентирует это понятие как любое действие (или их совокупность), совершаемое с личной информацией. Под действиями законодатели понимают:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление или уничтожение данных.

Все операции проходят или в бумажном ручном режиме, или с использованием средств автоматизации, в том числе в режиме онлайн. На все эти действия оператор обязан получить от владельца одобрение: например, заполненный бланк согласия на обработку персональных данных для родителей (в детском саду или школе).

Деятельность работодателей в качестве операторов регулирует статья 86 Трудового кодекса РФ. Что Относится к Общедоступным Персональным Данным Работника.

Согласие на обработку персональных данных работника

Работодателю не нужно согласие работников на обработку персональных данных, если информация будет использована только в рамках внутренних рабочих процессов.

Однако если надо оформить полис ДМС или отдать функции по расчету и начислению зарплаты на аутсорсинг, то персональные данные придется передать третьему лицу. Значит, без отдельного согласия работников не обойтись.

page0001.jpg

page0002.jpg

НА ЧТО ОБРАТИТЬ ВНИМАНИЕ

❶ Согласие на обработку персональных данных по образцу, приведенному в статье, подойдет только для работника. Такое согласие не будет актуальным, например, для соискателя. Очевидная, но часто встречающаяся ошибка.

❷ За работника в некоторых случаях согласие должен подписывать представитель. Например, если работник — несовершеннолетний. Поэтому в шаблоне соответствующего документа рекомендуем предусмотреть графы, в которые можно было бы внести сведения о представителе.

❸ Прописывайте полное наименование работодателя и сведения о его местонахождении.

В качестве дополнительного идентификатора работодателя можно также указать ИНН или ОГРН (ОГРНИП), однако такая информация необязательна.

❹ Правильно сформулировать цель обработки персональных данных бывает сложно. Проблема в том, что в соответствии с текущей правоприменительной практикой в согласии на обработку персональных данных следует указывать именно одну цель.

В то же время нигде не сказано, насколько детально должна быть прописана такая цель. Так, основанием для большинства действий работодателя с персональными данными работника будет соблюдение закона путем осуществления прав и исполнения обязанностей сторон трудовых отношений. Например, выплата заработной платы не будет являться самостоятельной целью, ведь это лишь часть обязанностей.

Однако если появляется стороннее обстоятельство, то цель может оказаться уже другой. Довольно распространенный пример — предоставление работникам полиса ДМС.

С одной стороны, если предусмотреть предоставление полиса ДМС в трудовом договоре, это станет обязанностью работодателя.

С другой стороны, страховые компании по условиям договора страхования могут предусматривать использование персональных данных застрахованных лиц в маркетинговых целях. В этом случае одним стандартным согласием не обойтись.

❺ В согласии на обработку персональных данных указывайте конкретный перечень таких сведений. Он должен соответствовать цели обработки и фактическим обстоятельствам.

Чтобы не запутаться, рекомендуем в отдельном документе вести список обрабатываемых персональных данных по каждой категории субъектов с указанием целей обработки таких сведений.

Благодаря указанному списку сможете оперативно составлять шаблоны согласий на обработку персональных данных и иных документов.

Главное — отслеживайте изменения в за-конодательстве и поддерживайте список в актуальном состоянии.

❻ Пропишите сведения о лице, которое будет осуществлять обработку персональных данных по вашему поручению. В одном согласии указывайте только одно лицо, действующее по поручению работодателя.

Принцип «одна цель обработки — одно согласие» проверяющие используют по аналогии при указании лица, которому поручают обработку данных. Трудовой Договор Является Персональными Данными Или Нет.

Доступ к данным

Начальник всегда говорит о том, для чего нужен доступ к личной информации сотрудника. Также он сообщает, какие будут последствия, если человек откажется. После этого он сможет принять решение по поводу того, стоит ли разрешать обрабатывать данные.

Волновать может вопрос о том, кто имеет доступ к сведениям. Они не будут выходить за пределы компании, если только человек не разрешит распространять свои данные. Поэтому обращаться к ним могут люди, работающие в организации.

Если использование и хранение личной информации нарушено, то компанию привлекут к административной ответственности. Директор фирмы должен выплатить пострадавшему материальный ущерб, который был нанесен из-за незаконных действий. Поэтому нужно внимательно соблюдать все правила, которые имеют отношение к данным сотрудников организации. Тогда не должно возникнуть проблем, касающихся недобросовестной обработки сведений. Что Включить в Трудовой Договор по Персональным Данным.

Что относится к персональным данным
Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В заключение

Буду рад, если вашей работе вы не столкнетесь с проверками и санкциями со стороны надзорных органов.

Автор: Денис Карандашев

Что это обозначает?
По закону согласие требуется только в том случае, если сведения относятся к определенным видам: биометрические (физиологические особенности) и специальные (состояние здоровья, религия и т.д.). Однако, согласие требуют даже тогда, когда вы предоставляете общедоступные сведения.

Как защищаются данные

Конечно, согласно положениям закона, оператор имеет право передавать ваши данные сторонним лицам только с вашего согласия. За исключением случаев, которые прямо прописаны в законе. Примеры мы приводили выше. Однако, как показывает практика, несмотря на ужесточение ответственности, ваши персональные данные действительно могут попасть третьим лицам без вашего согласия. Так что, вывод один — всегда внимательно читайте документы, которые вы подписываете. И не стесняйтесь уточнять моменты, которые непонятны.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

🟠 Пройдите опрос и получите бесплатную консультацию

🟠 Введите свои вопросы в форму для бесплатной консультации

Оцените, пожалуйста, публикацию:
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован.