Договор поручения на обработку персональных данных. Договор поручения на обработку персональных данных третьим лицом Поручение на обработку персональных данных россельхоз образец
Закон запрещает обрабатывать персональные данные без согласия гражданина. Для этого он должен подписать соглашение на обработку персональных данных, образец которого рассмотрен в этой статье. Хотя обязательная форма для этого документа не предусмотрена, тем не менее, в нём должны быть указаны все необходимые данные.
Что такое персональные данные
Точная формулировка того, что именно является персональными данными, в законодательстве отсутствует. В законодательстве сложилась практика того, что обычно к ним относят следующее:
- фамилия, имя и отчество;
- адрес, где гражданин фактически проживает, информация о его постоянной или временной регистрации;
- место и дата рождения;
- данные о финансовом состоянии;
- социальный и семейный статус;
- доходы, которые гражданин получает, принадлежащее ему имущество, а также его долги;
- подробная информация о состоянии здоровья;
- указание национальной принадлежности человека;
- религиозная принадлежность;
- политические взгляды;
- другая аналогичная информация.
Часто эту информацию люди сообщают о себе не только в государственных органах, но и при устройстве на работу, подписывая договор с банком, обращаясь за медицинской помощью, в других аналогичных случаях.
Эта информация содержится в личных документах граждан и в разнообразных справках, которые могут потребоваться, например, при оформлении в банке получения кредита.
Вот примерный перечень таких документов:
- паспорт;
- военный билет;
- свидетельство о рождении;
- документы, подтверждающие получение образования;
- справки, предоставляемые банку, о доходах;
- декларация 3-НДФЛ по подоходному налогу и другие аналогичные отчёты;
- документы, удостоверяющие наличие родственных отношений;
- при поступлении на работу принято заполнять анкеты и предоставлять своё резюме;
- много сведений личного характера предоставляется при написании автобиографии;
- характеристики;
- другие аналогичные документы.
Нужно учитывать, что после того, как информация была предоставлена, у получателя будут храниться подлинники или копии документов. Такие организации, согласно законодательству, считаются операторами персональных данных и должны подчиняться соответствующим требованиям, работая с личными данными.
Многие люди не задумываются о том, что где-то продолжают храниться их личные данные. При этом не совсем понятно, насколько нужно заниматься их защитой.
Вот несколько причин:
- Соответствующий закон появился только в 2006 году. Однако и до его вступления в силу было принято считать, что к чужой информации личного характера необходимо относиться бережно и избегать её разглашения.
- В некоторых случаях разглашение такого рода информации может привести к репутационным потерям.
- Иногда необходимость принятия мер по защите персональных данных возникает в связи с тем, что таковы указания руководства компании.
- Поскольку закон о защите личной информации уже вступил в силу, возможно, что организация может попасть под соответствующую проверку. Причём в тех случаях, когда происходит активная работа с клиентами (например, это относится к банкам, медицинским учреждениям, институтам), вероятность её проведения стремительно увеличивается.
- В тех фирмах, которые ведут деятельность, связанную с обеспечением информационной безопасности, необходимо обращать особое внимание на безопасность личных данных своих сотрудников.
- Постепенно юридические нормы в рассматриваемой сфере развиваются и становятся всё более жёсткими. Если защиту таких данных правильно организовать с самого начала, впоследствии легче будет учитывать новые требования.
Соблюдая требования по защите информации можно предотвратить её возможную утечку.
Порядок и правовое регулирование процедуры
Необходимость получения данного согласия предусмотрена федеральным законом №152-ФЗ от 27 июля 2006 года «О персональных данных» .
Предусматривает, что организации определяют порядок использования имеющейся у них информации о сотрудниках самостоятельно. Данный принцип применяется также и ко всем остальным операторам.
Обязательным условием при этом является соблюдение требований кодексов и федеральных законов.
На практике, прежде, чем приступить к работе с персональными данными, нужно оформить локальный нормативный акт, в котором должен быть указан образец согласия сотрудника на использование и обработку персональных данных.
Этот документ («Положение о персональных данных») утверждает руководитель. Если на фирме есть профсоюзный комитет, потребуется его согласие.
В п. 8 статьи 86 ТК РФ предусмотрено, что с этим документом каждый сотрудник должен быть ознакомлен под роспись. Для этих целей можно завести специальный журнал.
Если такой документ на предприятии будет отсутствовать, это является административным нарушением, которое предусмотрено статьей 13.11 Кодекса об административных нарушениях РФ . В случае нарушения, на виновных накладывается штраф.
Для того чтобы оператор персональных данных имел право проводить их обработку, необходимо получить от гражданина соответствующее разрешение. Это можно сделать в письменном виде или в электронном, поставив соответствующую отметку на сайте.
В каких случаях заключается договор, а в каких соглашение
С юридической точки зрения понятия договора и соглашения практически не отличаются. В обоих случаях подписание такого документа означает возникновение определённых прав и обязанностей.
В статье 420 Гражданского Кодекса дано определение договора. Точной формулировки того, что такое соглашение в законодательстве РФ нет.
В вопросах обработки персональных данных необходимо получить согласие работника.
Для этих целей можно подписать договор между предприятием и сотрудником. Поскольку он будет двухсторонним, в нём могут быть предусмотрены права и обязанности как сотрудника, таки предприятия, с которым договор заключается. Его имеет смысл подписывать в тех случаях, когда использование персональных данных на этом месте работы имеет какие-либо дополнительные особенности.
Требования к данному соглашению определены в статье 9 Федерального закона №152-ФЗ . В частности, нужно учесть, что согласие должно быть сознательным, носить конкретный характер и быть информированным.
Рассматриваемый документ оформляется сотрудником в одностороннем порядке.
Для того чтобы указанный документ соответствовал этим требованиям, нужно чтобы в нём были перечислены все существенные моменты предположительного использования личной информации, на которое он даёт согласие.
Указанный список может включать:
- Оформление трудовых отношений, работа отдела кадров (анкета, автобиография, различные кадровые документы).
- Вопросы, связанные с начислением и выплатой заработной платы.
- Уплата предусмотренных законодательством налогов и сборов.
- Данные, которые предоставляются фирмой в Пенсионный фонд (в частности, это относится к данным для персонифицированного учёта).
- Вопросы связанные с оформлением банковской карты для получения заработной платы и перечислением на неё денег.
- Проведение оформления полиса добровольного медицинского страхования (ДМС).
- Вопросы, которые имеют отношения к получению налоговых вычетов.
- Обработка информации в процессе контроля качества работы сотрудника.
- При обеспечении сохранности имущества, принадлежащего предприятию.
Этот список неполный, по усмотрению работодателя и сотрудника в него могут быть включены другие пункты.
Также необходимо максимально точно идентифицировать личность заявителя, а также юридическое лицо, для которого он оформляет бумагу.
Заполнение документа
Универсального бланка для этого законодательством не предусмотрено. Поэтому составить его можно в произвольной форме, но в документе должна быть вся необходимая информация.
Документ может быть сделан, например, в следующем виде:
- В верхней правой части листа бумаги указывают, кому подаётся документ. При этом пишут название организации, должность и фамилию руководителя.
- Под данными руководителя надо указать, кто оформляет согласие на обработку своих персональных данных. Здесь пишут фамилию, имя, отчество, адрес регистрации, паспортные данные заявителя.
- В центре страницы фиксируют название документа: «Согласие на обработку персональных данных».
- Далее пишется текст документа, который начинается с фамилии, имени, отчества сотрудника.
- Далее указывается юридическое основание: упоминается статья федерального закона.
- После этого перечисляется то, в каких целях предположительно будут использоваться персональные данные сотрудника.
- Далее указывается, что даётся согласие на обработку личной информации. При этом указывают реквизиты юридического лица, конкретные виды информации, о которых идёт речь.
- В конце текста фиксируют срок действия разрешения. Обычно речь идёт о согласии до момента отзыва этого документа.
В конце документа ставятся подпись, её расшифровка и дата заполнения.
Подробнее о соглашении на обработку персональных данных смотрите ниже на видео.
Договор на обработку персональных данных - образец его представлен в настоящей статье. Он может быть использован в случае осуществления обработки данных третьими лицами. Нюансы составления такого договора с учетом положений действующего правового регулирования и практики его применения будут раскрыты в настоящей статье.
Договор на обработку персональных данных: общие положения
В соответствии с п. 1 ст. 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее — закон № 152-ФЗ) персональные данные (ПД) — это любая информация о гражданине, который:
- прямо определен;
- определен косвенно;
- может быть определен.
Под обработкой ПД в соответствии с п. 3 ст. 3 закона № 152-ФЗ понимается любая операция или их совокупность, совершаемая с ПД как с использованием средств автоматизации, так и без них: сбор, запись, хранение, обезличивание, уничтожение персональных данных и др.
Нередко организация, собирающая ПД, сама не осуществляет обработку, а заключает соглашение об этом с третьими лицами. Скачать образец договора на обработку персональных данных можно по ссылке: Договор на обработку персональных данных - образец .
Договор на обработку ПД в соответствии с ч. 3 ст. 6 закона № 152-ФЗ:
- заключается между оператором и лицом, осуществляющим обработку ПД (при оформлении в качестве договора поручения — доверителем и поверенным);
- предполагает получение согласия лиц, чьи данные обрабатываются (в отдельных случаях, установленных законодательством, получение согласия не требуется).
Также согласно указанной норме закона № 152-ФЗ:
- в поручении об обработке ПД определяется цель обработки и перечисляются действия с ПД;
- закрепляется обязанность поверенного соблюдать конфиденциальность ПД, обеспечивать безопасность ПД и требования к защите ПД.
Договор на обработку персональных данных: нюансы
В связи с заключением соглашений об обработке ПД имеются следующие нюансы:
- если подобное соглашение заключается оператором связи исходя из соглашения с абонентом — физическим лицом, а также для обеспечения прав и законных интересов оператора или физического лица, то получать согласие абонента на передачу и обработку информации о нем не требуется (ст. 53 закона «О связи» от 07.07.2003 № 126-ФЗ, письмо Минкомсвязи России «О разъяснении норм…» от 07.07.2017 № П11-15054-ОГ);
- при спорах о передаче для обработки сведений, полученных на основании кредитных соглашений, подлежат установлению обстоятельства о наличии согласия лица на передачу сведений о нем для обработки, в том числе исходя из положений кредитного соглашения (письмо Минкомсвязи России «О разъяснении норм…» от 18.10.2017 № П11-1-200-24749, определение ВС РФ от 01.08.2017 № 78-КГ17-45);
- при заключении соглашений на обработку сведений о гражданах в информационных системах такие соглашения должны содержать обязанность лица, получившего сведения для обработки, обеспечить безопасность полученной информации (п. 3 требований к защите персональных данных при их обработке в информационных системах…, утв. постановлением Правительства РФ от 01.11.2012 № 1119).
Отдельные особенности договорного регулирования обработки персональных данных
При регулировании некоторых видов общественных отношений законодателем отдельно указаны особенности договорного регулирования обработки ПД. В частности:
- положения о защите сведений о гражданах должны содержать соглашения, заключаемые между организацией, оказывающей коммунальные услуги, и организациями, которые снимают показания счетчиков, производят начисление, подготовку и доставку платежных документов физическим лицам (подп. «е» п. 32 правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утв. постановлением Правительства РФ от 06.05.2011 № 354);
- соглашение об оценке эффективности мер защиты ПД может быть заключено только с организацией, имеющей лицензию на осуществление деятельности по техзащите информации конфиденциального характера (п. 6 состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…, утв. приказом ФСТЭК России от 18.02.2013 № 21);
- в соответствии с ч. 1 ст. 15.3 закона «О государственном оборонном заказе» от 29.12.2012 № 275-ФЗ по запросам контролирующих органов организации и органы власти обязаны представлять документы и информацию, включая соглашения, несмотря на содержащиеся в них ПД.
Согласие на обработку персональных данных
Согласие на обработку ПД может быть выражено как в форме отдельного документа, так и в соглашении. Указанное касается различных правоотношений с гражданами, например кредитных (которые упоминались выше) или трудовых. Нередко подтверждение согласия на обработку персональных данных в договоре осуществляется при совершении действий в интернете (оформляется проставлением галочки).
Применительно к трудовым отношениям и защите ПД особое значение имеет составление положения о ПД, о чем подробнее можно прочитать в нашей статье по ссылке: Составляем положение о персональных данных работников - образец .
Также необходимо учитывать следующее:
- компания-работодатель не должна предоставлять личные данные граждан в целях коммерческого использования без согласия этих граждан (п. 2 ч. 1 ст. 88 Трудового кодекса РФ);
- лица, получающие данные о сотрудниках, должны соблюдать секретность полученных сведений (п. 3 ч. 1 ст. 88 ТК РФ);
- локальный акт о передаче личных сведений о сотрудниках внутри компании должен быть доведен до сотрудников под подпись (п. 4 ч. 1 ст. 88 ТК РФ).
Итак, в настоящей статье был представлен для скачивания образец договора на обработку ПД и отмечены некоторые принципы и особенности, которые следует иметь в виду при заключении подобных соглашений. В частности, необходимость получения согласия физических лиц, сведения о которых передаются, и обязанность компании, получившей данные для обработки, обеспечить их сохранность.
Н.А. Мацепуро, юрист
Оформляем документы для защиты личных данных работников
С июля этого года Закон о персональных данныхФедеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) действует в новой редакциист. 3 Федерального закона от 25.07.2011 № 261-ФЗ . Многие поправки затронули обязанности операторов по обработке персональных данных, коими, напомним, являются все компании и предприниматели, если у них есть работникип. 2 ст. 3 Закона № 152-ФЗ . Поэтому далее о таких обязанностях и поговорим. В частности, о том, как в свете последних поправок работодатели должны оформлять основные документы в сфере защиты персональных данных (ПД) своих работников. Ведь решение этого вопроса руководитель часто вешает на главного бухгалтера, считая его универсальным специалистом.
Положение о персональных данных
Любой работодатель должен закрепить на бумаге свою политику в области обработки и защиты ПД работниковп. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ ; п. 8 ст. 86 , статьи 87, 88 ТК РФ . Удобнее это сделать в одном локальном нормативном акте, который должен быть утвержден приказом и может именоваться как угодно, чаще всего - Положением о персональных данных.
Внимание
С Положением о ПД и изменениями к нему (если они вносились) нужно под роспись ознакомить всех работниковч. 1 ст. 18 Закона № 152-ФЗ ; п. 8 ст. 86 , ст. 88 ТК РФ .
Вот что должно содержаться в Положении о ПД:
- перечень обрабатываемых ПДп. 2 ст. 3 Закона № 152-ФЗ . То есть всех тех ПД работников, которые вам необходимы для оформления кадровой документации, составления отчетности в ИФНС, внебюджетные фонды и выполнения иных обязанностей, возложенных на вас законодательством, а также коллективным и трудовыми договорами. К примеру, это паспортные данные работников, сведения об их образовании, семейном положении, воинской обязанности, состоянии здоровья, доходах и т. д.;
- цели обработки ПДп. 2 ст. 3 , ч. 2 ст. 5 Закона № 152-ФЗ . Их можно переписать из Трудового кодексап. 1 ст. 86 ТК РФ ;
- перечень действий с ПДп. 2 ст. 3 Закона № 152-ФЗ . Они перечислены в определении понятия «обработка персональных данных». Например, это сбор ПД, их накопление, уточнение, хранение, удаление и т. п.п. 3 ст. 3 Закона № 152-ФЗ В принципе, работодатели могут предпринимать все из указанных в этом определении действий;
Рассказываем руководителю
За нарушение порядка обработки ПД предусмотрена административная ответственностьст. 13.11 КоАП РФ . Привлекают к ней судьи на основании проверочных материалов органов РоскомнадзораРешение Приморского краевого суда от 04.07.2011 № 7-12-228/11 . Но органы Роскомнадзора по результатам проверок предпочитают выносить предписание об устранении выявленных нарушенийп. 82 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 ; Постановления ФАС МО от 08.09.2011 № А40-129858/10-147-805 ; ФАС ВСО от 12.05.2011 № А33-10809/2010 , от 05.04.2011 № А19-25289/09 , Четвертого ААС от 04.10.2010 № А58-3498/2010 . Если эти нарушения своевременно устранить, то опасаться штрафовст. 19.5 КоАП РФ не стоит. Кроме того, за несоблюдение порядка обработки ПД (как за нарушение трудового законодательствач. 1 ст. 5.27 КоАП РФ ) пытаются штрафовать трудинспекции, но суды с ними не соглашаютсяПостановление Девятого ААС от 14.06.2006 № 09АП-4259/2006-АК .
- права и обязанности работников в сфере обработки ПДп. 8 ст. 86 ТК РФ . Их тоже можно переписать из Закона о ПД и Трудового кодексаст. 14 Закона № 152-ФЗ ; ст. 89 ТК РФ . К примеру, работники имеют право получать доступ к своим ПД и информацию об их обработкеч. 1 ст. 14 , ч. 1 ст. 18 , ч. 1 ст. 20 Закона № 152-ФЗ ;
- порядок обработки ПД, в том числе хранения, использования и передачип. 8 ст. 86 , статьи 87, 88 ТК РФ . Здесь нужно указать:
Общие требования к обработке ПДстатьи 5-7 , ст. 9 Закона № 152-ФЗ ; ст. 86 , ст. 88 ТК РФ . В частности, все ПД работника нужно получать у него самогоп. 3 ст. 86 ТК РФ , обрабатывать их можно лишь в соответствии с целями их сборач. 4 ст. 5 Закона № 152-ФЗ ; п. 1 ст. 86 ТК РФ , нельзя сообщать их третьим лицам без согласия работникаст. 7 Закона № 152-ФЗ ; ст. 88 ТК РФ . Работодатель обязан ознакомить работников с локальными актами, устанавливающими порядок обработки ПДп. 8 ст. 86 ТК РФ , разрешать доступ к ПД только уполномоченным работникамст. 88 ТК РФ ;
Состав и перечень ваших мер по обеспечению защиты ПДст. 18.1 , ст. 19 Закона № 152-ФЗ . Например, перечислите, где хранятся ПД, кто из работников имеет доступ к ним без дополнительного разрешения, как оформляется допуск к ПД иным работникам, какие используются средства защиты информации в компьютерах и т. п.;
- ответственность работников за нарушение требований к обработке и защите ПД. Они могут нести дисциплинарную, материальную, административную и даже уголовную ответственностьст. 90 ТК РФ ; ч. 1 ст. 24 Закона № 152-ФЗ .
Если у вас уже есть Положение и оно составлялось в соответствии с прежней редакцией Закона о ПД, то Положение нужно доработать с учетом последних поправок.
Приказ о назначении ответственного лица
Работодатели (только организации) теперь должны назначать лицо, ответственное за организацию обработки ПДч. 1 ст. 22.1 Закона № 152-ФЗ .
К уровню квалификации ответственного лица никаких требований нет. Поэтому это может быть любой ваш работник.
Для назначения ответственного работника издайте об этом приказ. Например, такой.
Общество с ограниченной ответственностью «Стройцентр»
ПРИКАЗ № 25-к
г. Москва
Во исполнение положений п. 1 ч. 1 ст. 18.1 и ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
ПРИКАЗЫВАЮ:
1. Назначить главного бухгалтера Гарипову Г.А. с 04.07.2011 ответственной за организацию обработки персональных данных.
2. Внести изменения в должностную инструкцию Гариповой Г.А. в связи с новым назначением.
3. Установить Гариповой Г.А. ежемесячную доплату на время исполнения функций ответственного за организацию обработки персональных данных в размере 10% от должностного оклада.
С приказом ознакомлена, об ответственности за нарушение порядка обработки и защиты персональных данных работников, в том числе за их разглашение, предупреждена.
Согласие работника на обработку персональных данных
Для обработки ПД работников лишь в целях исполнения трудового договора получать у них согласие не нужно . Например, не понадобится согласие работника на указание его ПД в кадровой документации, на передачу ПД между структурными подразделениями работодателя, при оформлении на него доверенности на представительство.
Предупреждаем руководителя
Работники, считающие, что их ПД обрабатываются с нарушениями , могут пожаловаться в органы Роскомнадзора. Последние обязаны рассмотреть обращение и провести внеплановую проверкуч. 2 ст. 23 , пп. 1, 2 ч. 5 ст. 23 Закона № 152-ФЗ ; пп. 27.4, 27.5 Административного регламента проведения проверок... утв. Приказом Роскомнадзора от 01.12.2009 № 630 . Поэтому во избежание лишней нервотрепки лучше все же иметь основные документы по обработке и защите ПД.
Также согласия не требуется и в случаях:
- сбора ПД у соискателей, так как это делается в целях заключения трудового договора по их инициативеп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
- сдачи персонифицированной отчетности в органы ПФР, отчетности по НДФЛ в ИФНС, хранения документов с ПД в течение установленных сроков и в других подобных ситуациях, когда работодатель исполняет возложенные на него законодательством обязанностип. 2 ч. 1 ст. 6 Закона № 152-ФЗ ;
- передачи ПД работников страховой компании в целях заключения договора на их добровольное медицинское страхование (ДМС) либо передачи ПД иным лицам для заключения иных договоров, по которым работник будет являться выгодоприобретателемп. 5 ч. 1 ст. 6 Закона № 152-ФЗ ;
- обработки общедоступных ПД работниковп. 10 ч. 1 ст. 6 Закона № 152-ФЗ . Например, тех ПД работника, по которым он дал письменное согласие на их общедоступность.
В остальных случаях обработки ПД работников, в том числе передачи ПД третьим лицам, у работников придется получать согласиеп. 1 ч. 1 , ч. 3 ст. 6 , ст. 7 , ч. 3 ст. 9 Закона № 152-ФЗ ; ст. 88 ТК РФ . К примеру, при передаче:
- сведений о должности и размере зарплаты работника банку, запрошенных им в связи обращением этого работника за получением кредита;
- копий дипломов работников лицензирующему органу для получения лицензии;
- ПД работников сторонней организации, оказывающей услуги по ведению бухучета.
Что должно содержать согласие, покажем на примереч. 4 ст. 9 Закона № 152-ФЗ .
СОГЛАСИЕ
на обработку персональных данных
Я, Иванов Иван Иванович, паспорт серии 77 08 № 123456, выдан ОВД Лефортово г. Москвы 15.08.2005, зарегистрированный по адресу: г. Москва, Рязанский проспект, д. 20, кв. 96, даю согласие ООО «Стройцентр» (г. Москва, ул. Большая Пироговская, д. 53, корп. 1) на передачу всех моих персональных данных, обрабатываемых им в целях исполнения заключенного между нами трудового договора и выполнения возложенных на него законодательством обязанностей, в ООО «Нивал» (г. Москва, ул. Профсоюзная, д. 34, корп. 2) в целях их любой обработки в рамках договора оказания услуг по ведению бухгалтерского учета б/н от 03.03.2011.
Настоящее согласие действует в течение всего срока действия трудового договора и может быть мною отозвано в письменном виде.
Уведомление об обработке персональных данных
До начала обработки ПД операторы должны направлять в органы Роскомнадзора специальное уведомлениеч. 1 ст. 22 Закона № 152-ФЗ ; приложение к Рекомендациям по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утв. Приказом Роскомнадзора от 19.08.2011 № 706 .
Однако работодатели от такой обязанности освобожденыпп. 1, 2 ч. 2 ст. 22 Закона № 152-ФЗ . При этом то, каким способом вы обрабатываете ПД работников (вручную, на компьютере или смешанно), не важно. И пусть вас не смущают положения Закона о ПД, предписывающие уведомлять органы Роскомнадзора об обработке ПД с использованием средств автоматизации. Они действуют, только если вы обрабатываете ПД еще и иных граждан. Это нам подтвердили и в Роструде.
Из авторитетных источников
Заместитель руководителя Федеральной службы по труду и занятости
“ Организации, являющиеся работодателями, а также заказчиками работ, выполняемых физическими лицами по договорам подряда, обрабатывают персональные данные этих лиц и признаются операторами персональных данных.
Оператор до начала обработки персональных данных обязан уведомить орган Роскомнадзора о своем намерении осуществлять обработку персональных данныхч. 1 ст. 22 Закона № 152-ФЗ , за исключением некоторых случаевч. 2 ст. 22 Закона № 152-ФЗ . К таким случаям, в частности, относятся персональные данные, обрабатываемые в соответствии с трудовым законодательством.
Таким образом, организация, обрабатывающая персональные данные своих работников в соответствии с трудовым законодательством, не должна уведомлять уполномоченный орган об обработке персональных данных вне зависимости от того, каким способом они обрабатываются” .
Если вам пришел запрос из органа Роскомнадзора с просьбой представить уведомление об обработке ПД, то в течение 30 дней со дня его получения вы должны направить:
- <если> вы обрабатываете ПД работников не только в рамках трудовых отношений (например, передаете ПД страховой компании для заключения договора ДМС) - уведомление об обработке ПД. Кстати, в этом случае уведомление следует подать, не дожидаясь запроса. Сделать это нужно до начала такой обработки, а если вы обрабатывали так ПД до 1 июля 2011 г. – не позднее 1 января 2013 г.ч. 1 ст. 22 , ч. 2.1 ст. 25 Закона № 152-ФЗ ;
- <если> вы обрабатываете лишь ПД работников в соответствии с трудовым законодательством - письмо о том, что вы можете обрабатывать ПД без уведомления на основании п. 1 ч. 2 ст. 22 Закона № 152-ФЗч. 4 ст. 20 Закона № 152-ФЗ .
Иначе орган Роскомнадзора может попытаться оштрафовать вас за непредставление ему этой информациист. 19.7 КоАП РФ ; Постановление Верховного суда РФ от 05.08.2011 № 20-АД11-3 ; Постановление ФАС ЦО от 11.08.2011 № А64-6408/2010 .
Договор на обработку персональных данных третьим лицом
Когда вы поручаете обработку ПД работников другому лицу (например, передаете функции ведения бухгалтерского и налогового учета сторонней организации), то в договоре с этим лицом нужно предусмотретьч. 3 ст. 6 Закона № 152-ФЗ :
- перечень его действий с ПД;
- цели обработки им ПД;
- его обязанность соблюдать конфиденциальность ПД и обеспечивать безопасность их обработки;
- требования к защите им ПД.
Например, можно включить в договор такой раздел.
ДОГОВОР
оказания услуг по ведению бухгалтерского учета
г. Москва
8. Условия обработки Исполнителем персональных данных работников Заказчика.
8.1. Исполнитель по поручению Заказчика в целях расчета заработной платы, пособий и иных выплат, а также составления и сдачи отчетности в органы ФНС России и внебюджетные фонды совершает все необходимые действия по обработке персональных данных работников Заказчика.
8.2. Исполнитель обязуется соблюдать конфиденциальность полученных при исполнении настоящего договора персональных данных и обеспечивать их безопасность при обработке, принимая все необходимые меры в соответствии с требованиями действующего законодательства.
8.3. По окончании действия настоящего договора Исполнитель обязуется прекратить обработку персональных данных работников Заказчика, передав ему всю подготовленную во исполнение договора документацию, содержащую такие данные, и удалив их из своих электронных баз данных.
Документы по обеспечению доступа к персональным данным
Доступ к ПД работников должны иметь только специально уполномоченные лицаст. 88 ТК РФ . Поэтому перечень сотрудников, которым в связи с исполнением должностных обязанностей могут понадобиться ПД, следует утвердить приказомп. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 ; п. 14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 17.11.2007 № 781 .
Предупреждаем работников
За разглашение ПД других работников можно уволитьподп. «в» п. 6 ч. 1 ст. 81 ТК РФ .
В этот перечень войдут, например, руководитель, его заместители, работники отдела кадров, бухгалтерии, службы безопасности, юрист и даже секретарь, ведь часто именно он бронирует гостиницу и покупает билеты для работников, направляемых в командировку.
Допуск к ПД иных работников следует фиксировать в журнале либо оформлять письменные разрешения руководителя.
Кроме того, с работников, имеющих доступ к ПД, следует взять расписку о неразглашениист. 90 ТК РФ ; п. 43 Постановления Пленума Верховного суда РФ от 17.03.2004 № 2 . А можно прописать такую обязанность и в трудовом договоре.
Трудовой договор № 25
г. Москва
3. Обязанности Работника.
3.1. Работник обязуется соблюдать конфиденциальность в отношении любых персональных данных, доступ к которым он получит при исполнении своих трудовых обязанностей, как в период действия настоящего договора, так и по его прекращении.
Документы по защите персональных данных в информационных системах
Если у вас есть информационные системы персональных данных (к примеру, программа 1С или любая другая программа, содержащая ПД, даже таблицы в Excel), то вам нужно иметь целый пакет документов по защите обрабатываемых в ней ПДп. 3 ч. 1 ст. 18.1 , ч. 2 ст. 19 Закона № 152-ФЗ . Подробно рассматривать эту документацию мы не будем. Ведь составлять ее - это работа не бухгалтера, а, скорее, системного администратора или даже стороннего специалиста.
Как видите, требований к обработке ПД уйма. Поэтому без Положения о ПД, в котором компактно собрано все самое необходимое для работы с такими данными, просто не обойтись. Ведь из него будет видно, какие ПД нужно собрать с работников, как их обрабатывать и защищать (например, хранить документы с ПД в сейфе, установить на компьютеры пароли, шифровать электронные сообщения и документы с ПД, отсылаемые третьим лицам).
С Планом проверок Роскомнадзора можно ознакомиться на его сайте : раздел «Планирование, отчеты о деятельности» → «Планы проверок»И не забывайте, что операторы обработки ПД - это не только работодатели. Поэтому законодательство о защите ПД нужно соблюдать при обработке ПД не только работников, но и иных категорий физлиц. Например, если вы заключаете с гражданами какие-либо гражданско-правовые договоры, ведете в компьютере базу данных клиентов-физлиц или контактных лиц ваших контрагентов с указанием их ф. и. о., должности, номера телефона, даты рождения.
При этом самое важное - не разглашать ПД третьим лицам. Так будет меньше жалоб и, соответственно, проверок. Ведь по своей инициативе органы Роскомнадзора проверяют в основном только крупные компании, работающие с населением: банки, операторов связи, коммунальщиков, почту, медицинские клиники и др.
Договор N 0023/к Об обработке персональных данных
г. Ростов-на-Дону 12 октября 2008 г.ОАО "Бегемот", именуемое в дальнейшем "Работодатель", в лице директора Немова Р.И., действующего на основании Устава, с одной стороны, и гражданка РФ Водченко Светлана Анатольевна, именуемая в дальнейшем "Работник", с другой стороны, заключили настоящий договор о нижеследующем:
1.1. По настоящему договору Работодатель обязуется предоставить доступ к персональным данным работников общества для выполнения обусловленной в трудовом договоре трудовой функции Работника, а Работник обязуется соблюдать конфиденциальность при работе (сборе, обработке и хранении) с персональными данными работников Общества и предпринимать меры к обеспечению безопасности персональных данных, доступ к которым он имеет.
1.2. Работник, получающий доступ к персональным данным работников общества, несет единоличную ответственность за сохранность носителей и конфиденциальность информации.
1.3. Персональные данные работников Общества, к которым имеет доступ Работник:
Анкетные и биографические данные;
Паспортные данные;
Заработная плата (оклад, премии, надбавки);
Проекты, подлинники и копии приказов по личному составу;
Личные дела, трудовые книжки работников;
Информация о воинской обязанности, образовании и специальности;
Трудовой и общий стаж;
Социальные льготы работника;
Судимости и/или наличие обязательств по исполнительному листу;
Адрес постоянного проживания и адрес прописки, контактные телефоны;
Состав семьи, места работы или учебы членов семьи и родственников;
Журнал учета движения трудовых книжек и вкладышей к ним;
Материалы по повышению квалификации и аттестации работников;
Материалы служебных расследований.
1.4. Работник при работе (сборе, обработке и хранении) с персональными данными сотрудника обязан:
1.4.1. соблюдать локальные нормативные акты Работодателя по работе с персональными данными и обеспечением безопасности работы с ними;
1.4.2. получать все персональные данные работника;
1.4.3. выполнять автоматизированную обработку и хранение персональных данных работников только после выполнения всех мероприятий по защите информации;
1.4.4. в случае возникновения ситуации нарушения безопасности персональных данных или несанкционированного доступа к данной информации немедленно сообщать Работодателю;
1.4.5. не осуществлять работу с персональными данными в присутствии лиц, не имеющих к ним доступа;
1.4.6. передавать персональные данные работника представителям работника в порядке, установленном ТК РФ, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;
1.4.7. предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что данное правило соблюдено.
1.5. Работник при работе (сборе, обработке и хранении) с персональными данными сотрудника имеет право:
1.5.1. на знание требований нормативно-методических документов по защите информации и сохранению тайны;
1.5.2. на получение доступа к персональным данным работников всего предприятия;
1.5.3. на обеспечение рабочего места средствами и материалами, необходимыми для осуществления работ с персональными данными и соблюдения режима конфиденциальности;
1.5.4. предлагать и участвовать при выработке мер защиты персональных данных работников;
1.6. Работодатель обязан:
1.6.1. обеспечить наличие необходимых условий в помещении и на рабочем месте Работника для обеспечения конфиденциальности, при которых исключалось бы бесконтрольное использование защищаемой информации;
1.7. Для проведения контролирующих мероприятий Работодатель имеет право:
1.7.1. Требовать от Работника исполнения обязательств, определенных настоящим договором.
1.7.2. Привлекать к дисциплинарной ответственности (замечание, выговор, увольнение) лиц, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, в соответствии с законодательством РФ;
1.8. Срок окончания договора совпадает со сроком окончания действия трудового договора.
1.9. Условия настоящего трудового договора носят конфиденциальный характер и разглашению не подлежат.
1.10. Договор составлен с учетом действующего законодательства и является обязательным документом для сторон, в том числе при решении споров между Работником и Работодателем в судебных и иных органах.
1.11. Споры между сторонами, возникающие при исполнении данного договора, рассматриваются в порядке, установленном действующим законодательством РФ.
1.12. Во всем остальном, что не предусмотрено настоящим договором, стороны руководствуются законодательством РФ, регулирующим работу с персональными данными.
1.13. Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, один из которых хранится у Работодателя, а другой - у Работника.
Работодатель: Работник: ОАО "Бегемот", Водченко Светлана Анатольевна, 344002, г. Ростов-на-Дону, паспорт: серия 60 00, N 250000, выдан ул. Серафимовича, 135, оф. 111, ОВД г. Батайска Ростовской области тел.: 200 00 00, 01.01.2000 ИНН 616000000 зарегистрирован по адресу: 346880, г. Ростов-на-Дону, ул. Приднестровская, д. 108, ИНН 614614614313 Директор Печать Немов ООО Водченко ----- Р.И. Немов "Бегемот" -------- С.А. Водченко
Источник - "Кадровая служба и управление персоналом предприятия", 2010, № 1
Похожие документы
Бланк документа «Договор поручения на обработку персональных данных третьим лицом» относится к рубрике «Договор поручения, договор комиссии». Сохраните ссылку на документ в социальных сетях или скачайте его себе на компьютер.
Договор поручения
на обработку персональных данных третьим лицом
[место заключения договора] [число, месяц, год]
[Наименование организации-оператора], именуемое в дальнейшем "Доверитель", в лице [должность, Ф. И. О.], действующего на основании [устава, положения, доверенности], с одной стороны, и [Наименование организации], именуемое в дальнейшем "Поверенный", в лице [должность, Ф. И. О.], действующего на основании [устава, положения, доверенности], с другой стороны, а вместе именуемые "Стороны", заключили договор о нижеследующем:
1. Предмет договора
1.1. Поверенный обязуется по поручению, от имени и за счет Доверителя совершить действия по обработке персональных данных, которые включают следующее: [указать перечень действий (операций) с персональными данными; такими действиями могут быть, например: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных] (далее Поручение).
1.2. Состав персональных данных, подлежащих обработке, включает [вписать нужное].
1.3. Обработка персональных данных осуществляется в целях [вписать нужное].
1.4. Обработка персональных данных должна быть осуществлена в срок [вписать нужное].
1.5. Передача Доверителем персональных данных для обработки Поверенному осуществляется с согласия субъекта персональных данных по акту приема-передачи.
2. Обязанности сторон договора
2.1. Доверитель обязан:
2.1.1. В течение [значение] дней с даты подписания настоящего договора передать Поверенному персональные данные для обработки.
2.1.2. Возмещать Поверенному понесенные в связи с исполнением поручения издержки, подтвержденные документами, оформленными надлежащим образом.
2.1.3. Принять отчет Поверенного, все предоставленные им документы и все исполненное им в соответствии с настоящим договором.
2.1.4. Уплатить Поверенному вознаграждение в порядке, установленном разделом 3 настоящего договора.
2.2. Поверенный обязан:
2.2.1. Лично исполнять данное ему поручение.
2.2.2. Соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных".
2.2.3. Осуществлять обработку персональных данных в соответствии с целями, определенными Сторонами в настоящем договоре.
2.2.4. Осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
2.2.5. Соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также соблюдать требования к защите обрабатываемых персональных данных.
2.2.6. Представлять Доверителю по его требованию информацию о ходе исполнения поручения.
2.2.7. По исполнении поручения или при прекращении настоящего договора до его исполнения без промедления возвратить Доверителю персональные данные и представить отчет о выполненном поручении с приложением документов, подтверждающих издержки Поверенного, связанные с обработкой персональных данных.
3. Цена договора и порядок оплаты
3.1. Размер вознаграждения Поверенного составляет [цифрами и прописью] рублей.
3.2. Вознаграждение по настоящему договору выплачивается Доверителем Поверенному следующим образом: [единовременно, не позднее (значение) дней с даты предоставления отчета о выполненном поручении /(значение) % суммы, указанной в п. 3.1. настоящего договора, оплачиваются авансом в течение (значение) дней с даты подписания настоящего договора; оставшиеся (значение) % суммы - в течение (значение) дней с даты принятия отчета о выполненном поручении].
3.3. Издержки Поверенного, понесенные в ходе исполнения настоящего договора, подлежат возмещению Доверителем в полном объеме на основании представленных Поверенным документов, подтверждающих обоснованность расходов.
Возмещение указанных расходов осуществляется Доверителем не позднее [значение] дней с даты предоставления отчета о выполненном поручении.
3.4. Расчеты по настоящему договору осуществляются в безналичной форме путем перечисления денежных средств на расчетный счет Поверенного, указанный в настоящем договоре.
3.5. В случае прекращения настоящего договора до того, как поручение будет исполнено, Доверитель обязан возместить Поверенному понесенные при исполнении поручения издержки и уплатить ему вознаграждение соразмерно выполненной им работе.
4. Ответственность сторон
4.1. В случае неисполнения или ненадлежащего исполнения своих обязательств по настоящему договору Стороны несут ответственность в соответствии с действующим законодательством Российской Федерации.
4.2. В случае неисполнения или ненадлежащего исполнения поручения Поверенным в сроки, предусмотренные настоящим договором, он лишается права на получение вознаграждения, предусмотренного разделом 3 настоящего договора.
4.3. В случае просрочки в уплате вознаграждения Поверенному Доверитель выплачивает последнему пени в размере [значение] процентов от просроченной суммы за каждый день просрочки, но не более [значение] процентов от суммы вознаграждения Поверенного по настоящему договору.
4.4. В случае просрочки Доверителем в возмещении расходов Поверенного в соответствии с п. 3.3. настоящего договора Доверитель выплачивает последнему пени в размере [значение] процентов от просроченной суммы за каждый день просрочки, но не более [значение] процентов от просроченной суммы.
4.5. Ответственность перед субъектом персональных данных за действия Поверенного несет Доверитель. Поверенный, осуществляющий обработку персональных данных по поручению Доверителя, несет ответственность перед Доверителем.
4.6. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
5. Конфиденциальность персональных данных и требования к защите обрабатываемых персональных данных
5.1. Стороны, получившие доступ к персональным данным по настоящему договору, обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
5.2. Стороны при обработке персональных данных обязаны принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. Обеспечение безопасности персональных данных Поверенным достигается [указать методы и способы защиты информации].
6. Основания и порядок прекращения договора
6.1. Настоящий договор подлежит прекращению вследствие:
6.1.1. Отмены поручения Доверителем.
6.1.2. Отказа Поверенного от исполнения поручения.
6.1.3. Вступления в действие решения суда о признании Доверителя несостоятельным (банкротом).
6.1.4. Вступления в действие решения суда о признании Поверенного несостоятельным (банкротом).
6.2. Доверитель вправе отменить поручение, а Поверенный отказаться от него во всякое время. Соглашение об отказе от этого права ничтожно.
6.3. В случае, если настоящий договор поручения прекращается до того, как поручение исполнено Поверенным полностью, Доверитель обязан возместить Поверенному понесенные им при исполнении поручения издержки и уплатить вознаграждение соразмерно выполненной им работе.
6.4. В случае одностороннего отказа Поверенного от исполнения поручения он обязан возместить Доверителю все причиненные этим убытки в случае, если Доверитель будет лишен возможности иначе обеспечить свои интересы.
7. Порядок разрешения споров
7.1. Споры и разногласия, которые могут возникнуть при исполнении настоящего договора, будут по возможности разрешаться путем переговоров между Сторонами.
7.2. В случае, если Стороны не придут к соглашению, споры разрешаются в судебном порядке в соответствии с действующим законодательством Российской Федерации.
8. Заключительные положения
8.1. Настоящий договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, по одному экземпляру для каждой из Сторон.
8.2. Договор вступает в силу с момента подписания и действует до полного выполнения обязательств по данному договору.
8.3. Все изменения и дополнения оформляются дополнительными соглашениями Сторон в письменной форме, которые являются неотъемлемой частью настоящего договора.
9. Адреса и реквизиты сторон
Доверитель Поверенный
[вписать нужное] [вписать нужное]
-
Не секрет, что офисный труд негативно сказывается и на физическом, и на психическом состоянии работника. Фактов, подтверждающих и то и то, существует довольно много.