Приказ на утверждение формы согласия на обработку персональных данных

Положение о хранении и использовании персональных данных работников

Этот документ, устанавливает правила и регламентирует порядок организации обращения (обработки) с персональными данными сотрудников. Положение относится к организационно-распорядительной документации и представляет собой один из издаваемых организацией локальных актов.

Общий порядок разработки положения о персональных данных работников, в основном, схож с разработкой любого другого. Разработка документа производится в соответствии с решением руководителя кадровой службы во взаимодействии со службой (иным подразделением) обработки информации и включает подготовку предварительного варианта текста, его уточнение, согласование, оформление и представление на утверждение.

Окончательно оформленный документ утверждается соответствующим приказом, издаваемым руководителем организации.

Содержание документа обычно разрабатывается на основе типовых (примерных) положений о персональных данных, а также документов, регулирующих деятельность организации в области управления кадровыми и информационными ресурсами.

Рекомендуемая структура положения:
1. Общая информация.
2. Состав персональных данных сотрудников.
3. Организация обработки персональных данных.
4. Ответственность за нарушение требований к обработке персональных данных.

К положению в качестве приложений обычно разрабатываются и прикладываются формы заявлений о согласии работника на обработку, получение и передачу его персональных данных третьими лицами.

Положение о персональных данных и образец приказа об утверждении Положения о персональных данных

Персональные данные работника – это информация, касающаяся конкретного лица, необходимая работодателю в связи с трудовыми отношениями. Законодательством предусмотрен ряд обязанностей по получению, хранению, передаче и защите персональных данных работников. Работодателю следует руководствоваться не только положениями ТК РФ и федеральными законами, но и локальным актом, который должен быть в каждой организации. Таким локальным актом является Положение о персональных данных.

В ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» указывается, что персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. К персональным данным относятся: фамилия, имя, отчество, возраст; образование, место жительства, семейное положение, национальность, религиозные и политические убеждения, сексуальная ориентация и т.п.

Что касается сферы трудовых отношений, персональными данными работника считаются только те сведения, которые необходимы работодателю в связи с трудовыми отношениями. Это информация об образовании, специальности, квалификации, состоянии здоровья (для занятия определенными видами деятельности), наличии детей, доходах (для замещения должностей государственной службы). Работодатель не имеет права запрашивать у работника информацию, например, о его вероисповедании или национальности, чтобы не нарушать право на неприкосновенность частной жизни.

В силу ст. 85 ТК РФ работодатель осуществляет обработку персональных данных работников, которая включает в себя действия по получению, хранению, передаче или иному их использованию. Кроме этого, работодатель должен обеспечивать их защиту от неправомерного использования, утраты в порядке, установленном ТК РФ (п. 7 ст. 86 ТК РФ) и иными федеральными законами, за счет своих средств.

Хранение и обработка персональных данных, как правило, осуществляются одновременно с использованием электронной системы хранения и на бумажных носителях. Какие данные в конкретной организации подлежат хранению и обработке как персональные, кто имеет доступ к таким данным, каким образом осуществляется их защита от несанкционированного доступа – обо всем этом оговаривается в Положении о персональных данных (далее Положение), которое должно быть разработано в каждой организации.

Работников организации необходимо ознакомить с Положением под роспись, а вновь принимаемых на работу лиц следует в силу ст. 68 ТК РФ знакомить с Положением до подписания трудового договора. Работники, участвующие в обработке персональных данных, должны дать обязательство о неразглашении персональных данных.

Важно знать! Документы, в которых закрепляются положения об обработке и защите персональных данных, могут проверяться контролирующими органами, в частности сотрудниками Роскомнадзора. Поэтому рекомендуется работодателю ответственно подойти к их разработке.

Порядок утверждения Положения о персональных данных

Положение о персональных данных в организации должно быть разработано и утверждено как локальный акт. Если в организации есть профсоюз, то Положение утверждается с учетом его мнения в порядке, определенном ст. 372 ТК РФ (если данное требование установлено коллективным договором или соглашением): работодатель направляет проект Положения в выборный орган первичной профсоюзной организации, который не позднее пяти рабочих дней со дня его получения, отправляет работодателю мотивированное мнение по проекту в письменной форме.

Если оно не содержит согласия с проектом Положения либо содержит предложения по его совершенствованию, работодатель может согласиться с этим, либо обязан в течение трех дней после получения такого мнения провести дополнительные консультации с выборным органом в целях достижения взаимоприемлемого решения.

Если согласие не достигнуто, то оформляется протокол разногласий, после чего работодатель имеет право принять Положение. Но при этом, оно может быть обжаловано выборным органом первичной профсоюзной организации в государственную инспекцию труда или в суд. Также профсоюз имеет право начать процедуру коллективного трудового спора. Если в организации нет профсоюза, а есть иной представительный орган работников, Положение нужно согласовать с этим органом.

Если же нет ни того, ни другого, работодатель утверждает Положение самостоятельно, соблюдая процедуру согласования, установленную локальным нормативным актом организации. Принимаемый локальный акт согласовывается с начальником отдела кадров, главным бухгалтером, юристом или другими работниками. Положение вводится в действие приказом руководителя организации.

Структура Положения о персональных данных

Положение должно состоять из следующих разделов:

  1. Общие положения: указывается, с какой целью принимается данное Положение и какие вопросы оно регулирует.
  2. Основные понятия. Состав персональных данных работников: в данном разделе раскрывается, какие документы в организации содержат персональные данные.
  3. Хранение персональных данных: в разделе прописывается порядок и место хранения документов (дел) в которых содержатся персональные данные.
  4. Обработка персональных данных: в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника.
  5. Передача персональных данных: прописывается порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам.
  6. Доступ к персональным данным: в разделе должна содержаться информация о порядке доступа к персональным данным работников. Доступ подразделяется на внутренний (предоставление персональных данных отдельным работникам организации) и внешний (передача персональных данных представителям других организаций и государственных органов).
  7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных: в этом разделе нужно прописать, кто в организации несет ответственность за нарушение правил хранения и использования персональных данных.

В Положение можно вносить при необходимости дополнительные разделы.

2. Приказ об утверждении Положения об обработке и защите персональных данных

В Положении рекомендуется отразить следующее.

Общие положения, в том числе:

— предмет Положения (например, порядок получения, обработки, использования, хранения и гарантии конфиденциальности персональных данных физических лиц, необходимых для осуществления деятельности в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. N 152-ФЗ «О персональных данных», нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора);

— цель и задачи учреждения в области защиты персональных данных (например, обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, учащихся и выпускников, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных);

— понятие и состав персональных данных (персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, Положением об обработке и защите персональных данных и приказами «наименование учреждения»);

— кто является Оператором персональных данных (например, «наименование учреждения». Допускается привлекать для обработки персональных данных уполномоченные организации на основе соответствующих договоров и соглашений);

Порядок получения и обработки персональных данных, в том числе:

— как происходит получение персональных данных (получение персональных данных осуществляется в соответствии с нормативно-правовыми актами Российской Федерации в области трудовых отношений и образования, нормативными и распорядительными документами Минобрнауки России, Рособразования и Рособрнадзора, Положением об обработке и защите персональных данных и приказами учреждения на основе согласия субъектов на обработку их персональных данных. Оператор не вправе требовать от субъекта персональных данных предоставления информации о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации);

— как они обрабатываются и используются (обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных данных, а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации. Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. В случае увольнения, отчисления субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами. Правила обработки и использования персональных данных устанавливаются отдельными регламентами и инструкциями Оператора);

— в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные (Персональные данные могут храниться в бумажном и(или) электронном виде централизованно или в соответствующих структурных подразделениях с соблюдением предусмотренных нормативно-правовыми актами Российской Федерации мер по защите персональных данных. Право на обработку персональных данных предоставляется работникам структурных подразделений и(или) должностным лицам, определенным Положением об обработке и защите персональных данных, распорядительными документами и иными письменными указаниями Оператора. Также целесообразно привести в приложении к приказу об утверждении Положения укрупненный перечень персональных данных и перечень структурных подразделений и (или) отдельных должностей, имеющих право на их обработку);

— на каком основании персональные данные защищаются от несанкционированного доступа (персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора);

Права, обязанности и ответственность субъекта персональных данных и Оператора при обработке персональных данных, в том числе:

Смотрите так же:  Льготы статья 20 вов

— права субъекта персональных данных в целях обеспечения защиты своих персональных данных (в целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Федеральным законом Российской Федерации от 27.06.2006 г. N 152-ФЗ «О персональных данных» за исключением случаев, предусмотренных данным Федеральным законом, имеет право

на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;

требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных;

на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке).

— Обязанности Оператора при сборе персональных данных (Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.

В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных).

— права Оператора на передачу персональных данных третьим лицам (Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации);

— ответственность Оператора за разглашение персональных данных (Оператор, а также должностные лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается в приказе об утверждении Положения и иных приказах на руководителей структурных подразделений и конкретных должностных лиц Оператора, обрабатывающих персональные данные).

Приказ о персональных данных

Узнайте, как разработать приказ о персональных данных. В статье представлены образцы приказов о работе с информацией конфиденциального характера.

Скачайте документы по теме:

Как составить приказ о защите персональных данных

При поступлении на работу сотрудник предоставляет работодателю информацию, которая является конфиденциальной. Такие сведения должны быть надежно защищены. При передаче их третьим лицам работодатель должен получить письменное согласие. Защиту личных данных оформляют документально на основании действующего законодательства.

Что должно быть в приказе о защите персональных данных

  1. Полное наименование организации.
  2. Порядковый номер.
  3. Цель выпуска. Например, фразу:
    С целью исполнения требований, которые установлены главой 14 Трудового кодекса РФ, федеральным законом «О персональных данных» под № 152 от 27 июля 2006 года приказываю…
  4. Содержательную часть об утверждении Положения о защите персданных, дату ввода его в действие. О назначении ответственных лиц по работе с информацией конфиденциального характера, возложении на ответственных лиц обязанности о неразглашении личных сведений о сотрудниках.

Приказ о защите персональных данных работников (образец) содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников. Ответственные лица должны быть ознакомлены с таким приказом под подпись.

Нарушение порядка утверждения работы с информацией конфиденциального характера может привести не только к штрафам и взысканиям, но и к уголовной ответственности, когда владельцу информации нанесен серьезнейший материальный или физический ущерб. После того, как произведено утверждение приказа, порядковый номер документа проставляют в журнале по регистрации распоряжений. Сам документ хранят в кадровой службе или в бухгалтерии. Ответственные лица должны постоянно помнить о том, что данные конфиденциального характера хранят в соответствии с установленными правилами.

Эксперт «Системы Кадры» расскажет, как организовать обработку персданных. Из статьи вы узнаете, какая информация относится к общедоступной, как получить разрешение от сотрудника на обработку. Каким способом уведомить Роскомнадзор, как обеспечить защиту сведений конфиденциального характера и т.д.

Приказ об обработке персональных данных: образец

Приказ о согласии на обработку персональных данных содержит:

  • наименование организации;
  • дату и порядковый номер;
  • цель выпуска, например фразу: «Об утверждении формы согласия на проведение обработки персданных»;
  • bsp; наименование закона, на основании которого выпущен приказ: «В соответствии с федеральным законом под № 152-Ф3 от 27 июля 2006 года»;
  • содержательную часть об утверждении формы заявления о выдаче письменного согласия на обработку персданных, форма идет приложением к распоряжению;
  • кому поручен контроль за исполнением приказа;
  • подпись руководителя или лица, временно исполняющего его обязанности.

Эксперт «Системы Кадры» расскажет, какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными. Из статьи вы узнаете, какие виды ответственности предусмотрены за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников, нарушение передачи.

Какой образец использовать, составляя приказ об утверждении положения о персональных данных

Порядок хранения, обработки, использования персданных сотрудников устанавливается работодатель с учетом всех требований Трудового кодекса РФ, а также иных федеральных законов (на основании ст. 87 ТК РФ). Это значит, что работодатель самостоятельно определяет порядок такой обработки, закрепляет его в локальном нормативном акте. Например, в Положении о работе с данными конфиденциального характера сотрудников.

Сотрудники при приеме на работу должны быть ознакомлены с действующим Положением под подпись (на основании части третьей ст. 68 ТК РФ).

Положение о работе с персданными относится к обязательному документу организации. Отсутствие такого документа влечет административную ответственность (на основании ст. 5.27 КоАП РФ). На это же указывают и суды (смотрите постановление ФАС Московского округа от 26 октября 2006 года под № КА-А40/10220-06).

После составления Положения его утверждают приказом. Приказ составляют в произвольной форме.

Что нужно указать в приказе

  1. Название документа, который утверждается распоряжением.
  2. Дату, когда положение вступает в силу.
  3. К приказу идет приложением Положение о работе с персданными.
  4. С приказом знакомят под подпись сотрудника, ответственного за его исполнение.

Приказ о персональных данных: утверждение Положения

Эксперт журнала «Кадровое дело» расскажет, за какие ошибки при работе с персданными компании могут начислить крупные штрафы . Из статьи вы узнаете, когда разрешение на обработку персональных данных не требуется и можно ли хранить в отделе кадров копии паспортов.

Смотрите видео по теме!

Разрабатываем Положение о персональных данных. Продумываем нюансы

Каким способом оформить приказ о назначении ответственного за персональные данные

Приказ об обработке персональных данных ответственными лицами выпускает руководитель организации. Этим распоряжением назначают ответственного по работе с информацией конфиденциального характера. Вторым распоряжением утверждают перечень сотрудников, которые будут допущены к персданным.

Ответственные сотрудники несут административную ответственность в случаях, когда третья сторона получает доступ к информации конфиденциального характера без ведома и без разрешения со стороны самого работника, который ее представил. Ознакомление с распоряжением ответственных лиц проводится под подпись. При нарушении в работе с персданными таких лиц вправе привлечь к административной или уголовной ответственности.

Что должен содержать приказ об обработке персональных данных

  1. Наименование организации, оно должно соответствовать наименованию юридического лица, которое закреплено в учредительных документах (в уставе или в положении).
  2. Под наименованием организации в скобках указывают сокращенное наименование организации, если оно изначально предусмотрено уставом (на основании пункта 5.5 ГОСТ Р 7.0.97-2016).
  3. Место составления документа, прописывают по центру после строки «дата документа».
  4. Заголовок к тексту оформляют слева – от границы левого поля (на основании пункта 5.17 ГОСТ Р 7.0.97-2016).
  5. Указывают должность и фамилию сотрудника, а также закрепленный за ним объект.

Кого включают в приказ об утверждении перечня допущенных сотрудников

  1. Наименование организации, оно должно соответствовать наименованию юридического лица, которое закреплено в учредительных документах (в уставе или в положении).
  2. Под наименованием организации в скобках вносят сокращенное наименование организации, если оно предусмотрено уставом (на основании п. 5.5 ГОСТ Р 7.0.97-2016).
  3. Место составления документа прописывают по центру после строки «дата документа».
  4. Заголовок к тексту оформляют слева — от границы левого поля (на основании пункта 5.17 ГОСТ Р 7.0.97-2016).
  5. Указывают должность и фамилию сотрудника, а также закрепленный за ним объект.

★ Эксперт журнала «Кадровое дело» расскажет о разъяснениях Роскомнадзора, как обрабатывать персданные сотрудников без нарушений.

Приказ о защите персональных данных работников (образец) содержит распоряжение руководителя, которое зафиксировано документально, об утверждении перечня документов, определяющих конкретный порядок работы с персданными сотрудников. Ответственные лица должны быть ознакомлены с таким приказом под подпись. Дополнительно оформляют распоряжение об утверждении Положения по работе с информацией конфиденциального характера и документ о назначении ответственного лица, а также перечня лиц, допущенных к работе с закрытой информацией.

Закон РК «О персональных данных и их защите»: как понимать и как применять? (руководство для журналистов и СМИ)

Закон Республики Казахстан «О персональных данных и их защите»: как понимать и как применять?

для журналистов и СМИ

  1. Общие сведения о законе и подзаконных актах
  2. Что такое персональные данные?
  3. Сбор и обработка персональных данных в профессиональной деятельности журналиста
  4. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания
  5. Какие меры необходимо предпринять для соблюдения требований законодательства РК о персональных данных и их защите?

5.1. Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций;

5.2. Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

5.3. Внесение изменений и дополнений в перечень персональных данных

5.4. Защита и хранение персональных данных

5.5. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

5.6. Взаимодействие собственников и (или) операторов с субъектами персональных данных

  1. Ответственность за нарушения требований законодательства о персональных данных и их защите.
  1. Общие сведения о законе и подзаконных актах
Смотрите так же:  Налог на имущество организаций с земельных участков

Закон РК №94-V «О персональных данных и их защите» введен в действие 25 ноября 2013 года. Для реализации требований закона на практике приняты подзаконные акты:

— Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач[1];

— Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных[2].

Государственные органы для решения своих целей и задач разработали и приняли перечни персональных данных, необходимые для выполнения своих задач[3].

В связи с принятием Закона РК №94-V «О персональных данных и их защите» были внесены поправки в некоторые действующие законодательные акты[4]. В Уголовный кодекс РК, в Кодекс РК об административных правонарушениях внесены дополнения, предусматривающие административную и уголовную ответственность за нарушения требований законодательства о персональных данных и их защите.

Закон устанавливает, что персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Другими словами, под персональными данными понимаются: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее.

Физическое лицо, к которому относятся или принадлежат персональные данные, именуется субъектом персональных данных. Персональные данные комплектуются в базы, в зависимости от целей их назначения и использования. Государственные органы, физические и (или) юридические лица, которые на праве собственности владеют, пользуются и распоряжаются базами, содержащими персональные данные, называются собственниками.

Что можно делать с персональными данными? Персональные данные можно собирать и можно обрабатывать, то есть:

— изменять и дополнять;

— блокировать доступ к ним;

— передавать третьим лицам.

Кроме этого, базы, содержащие персональные данные, необходимо обеспечивать защитой от несанкционированного взлома или доступа.

Государственный орган, физическое и (или) юридическое лицо, осуществляющее функции по сбору, обработке и защите персональных данных, именуется оператором базы персональных данных.

В отношении субъекта персональных данных, собственника и оператора базы персональных данных законом возлагаются определенные права и обязанности, а также ответственность за нарушение установленных требований. Но имеет ли отношение все вышесказанное к профессиональной деятельности журналиста и СМИ? И как отразится введение в действие Закона РК «О персональных данных и их защите» на профессиональной деятельности журналиста и СМИ?

  1. Сбор и обработка персональных данных в профессиональной деятельности журналиста

Профессиональную деятельность журналиста невозможно представить без использования персональных данных. Персональные данные обрабатываются и используются журналистами постоянно, на любом этапе производства информационного продукта и для достижения следующих целей:

— как источники информации;

— как герои публикаций или сюжетов.

Указание фамилии, имени собеседника в титрах или в газетной публикации – это уже использование персональных данных. Распространение информации о каком-либо человеке без указания фамилии и имени, но с предоставлением дополнительных персональных данных, которые могут его индентифицировать (например, профессия, место работы или проживания) – это тоже распространение персональных данных.

Персональные данные в журналистских материалах могут использоваться случайным образом, без цели их распространения (например, излюбленный телевизионщиками кадр – паспортные данные, либо удостоверение личности, не имеющий к смыслу сюжета никакого отношения, но содержащий чьи-то персональные данные).

Общее правило, которое установлено Законом РК «О персональных данных и их защите», определяет, что сбор и обработка персональных данных осуществляется собственником и оператором с согласия субъекта или его законного представителя. Согласие субъекта или его законного представителя оформляется письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Но журналисты собирают и используют персональные данные не только для подготовки позитивных материалов, в отношении которых субъекты с охотой давали бы свое согласие на использование персональных данных. Сложно представить, чтобы герой коррупционного скандала или герои критических публикаций согласились бы на использование своих персональных данных и их распространение в СМИ. Применение общего правила сбора и использования персональных данных только с согласия субъекта сделало бы невозможным осуществление профессиональной деятельности журналиста, особенно когда речь идет о подготовке материалов, имеющих общественный интерес, критических, вскрывающих факты коррупции и других правонарушений и преступлений.

Поэтому закон предусматривает ряд исключений из общего правила, когда сбор и обработка персональных данных могут осуществляться без согласия субъекта или его законного представителя. Поэтому, если сбор и обработка персональных данных производятся для осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельностиполучать согласие субъекта не требуется .

— журналисты вправе собирать и обрабатывать, в том числе распространять (то есть, публиковать), персональные данные без согласия субъекта, которому они принадлежат, или его законных представителей только при осуществлении своей законной профессиональной деятельности. Под профессиональной деятельностью журналиста (не только журналиста, но и любого представителя средства массовой информации) понимается сбор, обработка и подготовка сообщений и материалов для СМИ на основе трудовых или иных договорных отношений;

— не требуется такого согласия для осуществления научной, литературной или иной творческой деятельности;

— исключение для журналистов и СМИ действует при условии соблюдения требований законодательства РК по обеспечению прав и свобод человека и гражданина.

  1. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания

Сбор, хранение, распространение, передача и другие действия с персональными данными для целей предпринимательской (хозяйственной) деятельности редакций СМИ, операторов телерадиовещания применяются в целях:

— создания базы данных подписчиков и распространения издания по подписке;

— создания базы распространителей издания в случаях розничного распространения;

— создания базы данных рекламодателей – физических лиц и индивидуальных предпринимателей и осуществления договорных услуг по размещению рекламы;

— создания базы данных абонентов кабельного телевидения и осуществления договорных услуг платного ТВ;

— обработки персональных данных штатных и внештатных сотрудников редакций печатных СМИ, информационных агентств, операторов телерадиовещания и т.д.

Распространение персональных данных происходит также в тех случаях, когда государственные исполнительные органы, коммунальные службы и другие организации публикуют в СМИ (на правах рекламы) или на собственных интернет-ресурсах списки неплательщиков, должников без их согласия, но с указанием персональных данных (так называемая публикация списков неплательщиков или должников).

Средства массовой информации признаются законом общедоступными источниками персональных данных, то есть доступ к персональным данным в таких источниках свободен и требования по соблюдению конфиденциальности на них не распространяются.

Возникает главный вопрос — является ли собственник или издатель СМИ оператором базы персональных данных? Да, безусловно. В силу этого на них законом возлагаются дополнительные обязанности по сбору, использованию и защите персональных данных. Какие именно?

Во-первых, утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. Например, для целей создания базы персональных данных подписчиков собственник СМИ издает приказ об утверждении перечня сведений, которые для этого необходимы: фамилия, имя, отчество подписчика, адрес проживания.

Во-вторых, принимать и соблюдать необходимые меры для защиты персональных данных, то есть предотвращать несанкционированный доступ к ним; своевременно обнаруживать факты несанкционированного доступа и минимизировать неблагоприятные последствия, которые могут наступить в этом случае.

В-третьих, принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки.

В-четвертых, реагировать на сообщения субъекта персональных данных, который запрашивает информацию об имеющихся в распоряжении СМИ своих персональных данных, просит ее изменить или дополнить; просит блокировать доступ к его персональным данным или уничтожить. Обратите внимание, что закон для выполнения этих обязанностей предусматривает конкретные сроки – от одного до трех рабочих дней. В случае отказа – требуется предоставить заявителю мотивированный ответ с причинами отказа в течение трех рабочих дней.

Требуется или нет получать согласие субъекта персональных данных для достижения целей (создание базы подписчиков, рекламодателей и т.д.), которые изложены выше? С одной стороны, деятельность по распространение продукции массовой информации относится к законной профессиональной деятельности (не может СМИ издаваться, но не распространяться), поэтому согласие субъекта персональных данных на их сбор и обработку не требуется. С другой стороны, все правоотношения с подписчиками, реализаторами печатных СМИ, рекламодателями, сотрудниками строятся в редакциях, как и в любых других организациях, на основе письменных договоров. Поэтому довольно легко выполнить часть требований закона РК «О персональных данных» просто включив в соответствующие договоры пункт о согласии второй стороны (физического лица) на сбор и обработку своих персональных данных в целях, указанных в договоре.

— СМИ (собственники, издатели, операторы телерадиовещания) являются собственниками и (или) операторами баз персональных данных, в связи с этим на них возлагается ряд обязанностей по защите персональных данных и по соблюдению прав субъекта персональных данных;

— Закон РК «О персональных данных и их защите» и Закон РК «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам персональных данных и их защите» введен в действие с 25 ноября 2013 года. В течение трех месяцев со дня введения в действие закона, то есть в срок до 25 февраля 2014 года собственники и (или) операторы баз персональных данных должны принять меры по сбору, хранению и защите персональных действий в соответствии с действующим законодательством о персональных данных и их защите (об этом более подробно в пункте 5);

— так как вся деятельность редакций СМИ по формированию баз подписчиков, рекламодателей, реализаторов, штатных и внештатных сотрудников осуществляется на основе письменных договоров, предлагается в качестве дополнительного пункта включать в каждый договор пункт о согласии второй стороны договора на сбор и обработку (включая передачу третьим лицам – в случае подписки) своих персональных данных для достижения целей, указанных в договоре.

  1. Какие меры необходимо предпринять для соблюдения требований законодательства РК о персональных данных и их защите?

Еще раз напомним, что собственники и (или) операторы персональных данных обязаны в течение трех месяцев со дня введения закона в действие, то есть до 25 февраля 2014 года, принять все меры, разработать необходимые документы относительно сбора, обработки и защиты персональных данных.

Необходимые меры подразумевают следующие действия и процедуры.

5.1. Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций

Каждый собственник и (или) оператор, который в рамках осуществления своей деятельности, собирает, хранит и обрабатывает персональные данные, должен определиться с их перечнем. При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться следующими принципами сбора, обработки и защиты персональных данных:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Собственник и (или) оператор в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, назначает ответственных лиц (далее – ответственное лицо) за организацию работы по определению перечня персональных данных. Назначение ответственного лица оформляется соответствующим документом (например, приказом). Ответственное лицо анализирует осуществляемые задачи собственника и (или) оператора, после чего готовит предложение об определении перечня персональных данных.

Смотрите так же:  Оплатить административный штраф по уин

Собственник и (или) оператор рассматривают предложение ответственного лица и принимают решение об утверждении перечня персональных данных или возвращают на доработку ответственному лицу. Срок подготовки предложений, с момента назначения ответственных лиц, не должен превышать тридцати календарных дней.
В случае возврата на доработку, перечень персональных данных дорабатывается ответственным лицом в течение пяти рабочих дней и повторно вносится на утверждение собственнику и (или) оператору.

После утверждения перечня персональных данных, логичными будут шаги по изменению документации с учетом необходимости получения согласия субъекта и принятию новых документов по вопросам обработки, защиты и сохранности персональных данных.

5.2. Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

Теперь, если для осуществления вашей деятельности требуются персональные данные, необходимо получать согласие субъекта, которым они принадлежат. Есть исключения из этого общего правила, они перечислены в статье 9 Закона РК от 21 мая 2013 года «О персональных данных и их защите». Еще раз напомним, что не требуется получение согласия субъекта, которому принадлежат персональные данные, при осуществлении законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина. В других случаях, не подпадающих под исключения, необходимо получать письменное согласие субъекта или его законного представителя. Кроме письменной формы, согласия может быть предоставлено в форме электронного документа или иным способом с применением элементов защитных действий. Субъект персональных данных может как дать свое согласие на сбор, обработку персональных данных, так и отозвать его. Отзыв согласия осуществляется в письменной, в форме электронного документа или иной форме, с применением элементов защитных действий.

Как оформить получение согласия на сбор и обработку персональных данных? Вариантов может быть много: подписание приложения или дополнительного соглашения к договору, заполнение специальной формы, выражающей согласие субъекта на сбор и обработку персональных данных, подписание специального заявления и т.д. Для электронных ресурсов очень важно наличие элементов защитных действий при получении такого согласия. Необходимость получения согласия субъекта персональных данных, предусмотренная в Законе РК «О персональных данных и их защите», требует переоформления всех действующих договоров и обязательств, в рамках которых осуществляется сбор и обработка персональных данных, за исключением индивидуальных трудовых договоров, в случае, если согласие работника на сбор и обработку его персональных данных было получено ранее.

5.3. Внесение изменений и дополнений в перечень персональных данных .

По результатам текущей деятельности собственником и (или) оператором могут быть внесены изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.
Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения в действие. Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, должно осуществляться только для ранее заявленных целей их сбора.
Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач.

5.4. Защита и хранение персональных данных.

Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Для обеспечения защиты персональных данных при их сборе и обработке, необходимо обособлять персональные данные от иной информации, в частности путем фиксации их на носителях.
При сборе и обработке персональных данных необходимо определить места их хранения (носители) и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
При хранении носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Меры, необходимые для обеспечения таких условий, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются собственником и (или) оператором, а также третьим лицом.

5.5. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации .

В связи с принятием Закона РК от 21 «О персональных данных и их защите», статья 13 Закона РК «Об информатизации»[5] изложена в новой редакции.

1. Электронные информационные ресурсы, содержащие персональные данные, относятся к категории конфиденциальных электронных информационных ресурсов, сбор, обработка которых ограничиваются целями, для которых они собираются.

2. Никто не вправе требовать для формирования электронных информационных ресурсов от физических лиц представление сведений об их частной жизни, составляющих личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физических лиц, включая сведения, касающиеся их происхождения, здоровья, взглядов, политических и религиозных убеждений, или получать такие сведения иным образом помимо их воли.

3. Для электронных информационных ресурсов, содержащих персональные данные, соблюдение конфиденциальности обязательно с момента, когда эти данные были представлены физическим лицом, к которому эти данные относятся.

4. Не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.

5.6. Взаимодействие собственников и (или) операторов с субъектами персональных данных

Важной особенностью Закона РК от 21 мая 2013 года «О персональных данных и их защите» является процедуры взаимодействия тех субъектов, кто собирает и обрабатывает персональные данные (собственников и (или) операторов) и субъектов, которым они принадлежат.

Субъект, которому принадлежат персональные данные, вправе:

— знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;

— требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

— требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

— требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства РК;

— дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных, а также отозвать согласие на сбор, обработку персональных данных.

Собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, предусмотренных законом;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством РК;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ;
8) в течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства РК;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Законом РК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защите» внесены изменения в Гражданский Кодекс, Уголовный Кодекс, Кодекс РК об административных правонарушениях и ряд других законов и кодексов. Таким образом, предусматривается гражданско-правовая ответственность (субъект персональных данных вправе требовать защиты своих прав и законных интересов, а также требовать возмещения морального и материального вреда), административная[6] (за нарушение требований законодательства о персональных данных в виде штрафов) и уголовная ответственность[7] (за нарушение неприкосновенности частной жизни и законодательства РК о персональных данных и их защите).

Похожие публикации:

  • Бц адмирал нотариус Нотариус Пискарева И.В. Нотариус Пискарева И.В. работает для вас в Адмиралтейском районе. Контора предлагает все виды нотариальных услуг: от выдачи справок до ведения дел о наследстве. К специалистам можно обратиться в порядке живой […]
  • Включение в реестр адвокатов Способы определения поставщиков Выбор способа закупки осуществляется заказчиком самостоятельно в соответствии с требованиями закона 44-ФЗ на основании следующих критериев: 1) предмет и условия исполнения контракта, заключаемого по […]
  • Политические требования народного фронта во франции Политические требования народного фронта во франции 1936 - ПРОГРАММА НАРОДНОГО ФРОНТА ПОЛИТИЧЕСКИЕ ТРЕБОВАНИЯ I. Защита свободы § 1. Всеобщая амнистия . § 2. Против фашистских лиг : а) Эффективное разоружение и роспуск полувоенных […]
  • Договор купли продажи в новосибирске Договор Купли-Продажи (Справка-счет) Покупаете или продаете автомобиль? Не знаете где юридически грамотно оформить сделку купли-продажи? Наши специалисты быстро и качественно оформят договор купли-продажи (справку-счет) […]
  • Заявление о невскрытии после смерти Отказ от вскрытия умершего Умер отец, было 66 лет, надо вести на вскрытие в районную больницу за 100 км, можно ли отказаться от вскрытия? Ответы юристов (9) Отказ от вскрытия возможен ОБ ОСНОВАХ ОХРАНЫ ЗДОРОВЬЯ ГРАЖДАН В РОССИЙСКОЙ […]
  • Крюки требования к ним Сайт для электриков Правильные ответы на вопросы по работам на высоте (для проверки знаний ИТР) выделены курсивом. Вопрос 1. ПОТ РМ 012-2000 п.1.1 Какие правила по охране труда при работе на высоте устанавливают единый порядок […]