Разграничение доступа к персональным данным — это необходимая мера для обеспечения их сохранности и недопущения к охраняемой информации посторонних лиц. О мерах, предпринимаемых для разграничения доступа к таким данным в организации, и расскажет предлагаемая нами статья.
Содержание
- 0.1 Цели и способы разграничения доступа к данным сотрудников организации
- 0.2 Общедоступные личные данные — что это? Источники их получения
- 1 Персональные данные: защита без нападений. Как защитить ПДн на сайте
- 2 Перечень лиц имеющих доступ к персональным данным
- 2.1 Положение о защите персональных данных работников
- 2.2 Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (образец заполнения)
- 2.3 Приказ о допуске к информационной системе >>> Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников >>> Изменение и дополнение персональных данных
- 2.4 Разграничение доступа к персональным данным работников
- 2.5 Образцы документов при работе с персональными данными работников
- 2.6 Как организовать защиту персональных данных сотрудников
- 2.7 Как оформить доступ к персональным данным начальнику структурного подразделения, если его нет в списке допущенных к персональным данным?
Цели и способы разграничения доступа к данным сотрудников организации
Хозяйственная деятельность организации предполагает обработку персональных данных, которые собираются для разных целей. Например, для ведения кадровой документации, исполнения обязанностей перед контрагентами, контроля доступа на охраняемые объекты и т. д. Часть 3 статьи 5 закона «О персональных данных» от 27.07.
2006 № 152-ФЗ запрещает объединение баз данных или иных носителей информации, содержащих личные данные, цели обработки которых различны. Часть 1 статьи 19 ФЗ № 152 обязывает организацию также обеспечивать все необходимые и достаточные меры для защиты собираемых данных, в том числе недопущение доступа к ним посторонних лиц.
Записи данных передачи могут быть необъяснимыми для субъекта данных.
Чтобы правильно их интерпретировать, необходимо знать развитие правового регулирования записей населения: данные о доставке также регистрируются для каждого использования в целях хранения файлов данных с персональными данными, как это предусмотрено законом, например, государственное управление в области удостоверений личности или проездных документов. Во время проверки министерство решило применить мнение о том, что выписка из информационной системы будет предоставлена с даты вступления в силу Закона о законах о регистрации населения.
Исполнение перечисленных выше требований достигается за счет определения прав сотрудников организации на доступ к носителям информации. Прежде всего речь в таком случае идет о компьютерных сетях, программах, файлах, базах данных, с использованием которых обрабатываются личные сведения.
Неограниченным доступом ко всей информации, а также сведениям об используемых средствах защиты данных могут обладать лишь руководитель организации, системный администратор и лицо, ответственное за обеспечение безопасности данных в организации, определяемое согласно требованиям статьи 22.1 ФЗ № 152. Доступ прочих сотрудников ограничивается объемом данных, который необходим им для исполнения своих непосредственных обязанностей.
С другой стороны, аудиторские записи информационной системы не охватывают обработку массовых поставок, осуществляемых в соответствии с законом. Объем таких отчетов и объем их персональных данных были значительными в предыдущие годы.
В то время, когда была проведена инспекция Управления, такие отчеты обрабатывались только для Общей медицинской страховой компании.
Другие получатели персональных данных из информационной системы уже должны быть указаны в отчетах аудита в сочетании с их собственной авторизацией пользователя.
По результатам инспекции Управление ввело корректирующие меры. Каждому заявителю, дополненные и исправленные записи часа и даты отправки были отправлены в соответствии с разделом 8 (6) Закона о регистрации населения.
Выполнение других введенных мер регистрируется непосредственно всеми заявителями для предоставления записи данных.
Тем не менее следует ожидать, что принятые меры будут направлены на будущее, и компенсация недостатков прошлого государства возможна лишь в определенной степени.
Наиболее распространенный способ разграничения доступа — это издание специального приказа, в котором поименованы все сотрудники, имеющие права на обработку данных, а также указываются носители информации, к которым возможен доступ каждого конкретного сотрудника, условия доступа (пароли, ключи) и перечень допустимых операций с данными. Также права сотрудников на доступ к носителям информации могут быть определены в соответствующих инструкциях по работе с ними.
Поиск соответствующего гражданина осуществляется через других жителей, для которых решающим является фактор, а также причина и конкретная цель доступа к информационной системе.
Эти записи являются основой для отчетности для заявителей.
Таким образом, можно предположить, что записи о предоставлении персональных данных другим получателям, указывающие на раскрытие персональных данных после этой даты, больше не будут источником подобных проблем.
Жалобы на основании экспертизы имели место, до сих пор связаны ожидания, что задача Управления является исследовать все уважение, которого они оспариваемое обработку персональных данных и их результаты предоставить им. Однако эти ожидания не имеют поддержки закона и поэтому не могут быть выполнены.
Обработка информации – в этом случае выписка из информационной системы – прямое выполнение права человека в качестве субъекта данных, который должен быть проинформирован об обработке.
Полученный таким образом обзор в соответствии с условиями, установленными специальным законом, является основанием для возможного осуществления прав против контроллера и процессора в соответствии с процедурой, предусмотренной разделом 21 Закона о защите персональных данных.
Общедоступные личные данные — что это? Источники их получения
В организации могут создаваться сводные перечни (списки) источников данных, которые находятся в общем доступе.
Порядок создания таких источников регулируется статьей 8 ФЗ № 152, согласно которой допускается включение в них инициалов, номеров телефона, адресов и иных значимых сведений о сотрудниках.
Главное, помнить при этом, что включение в такие источники личных данных граждан, согласно части 1 статьи 8 ФЗ № 152, возможно только с их письменного согласия. Кроме того, организация обязана удалить такие данные по требованию их субъекта либо по решению суда.
Этот закон дает человеку право отвечать на непонятные или неверные или неточные сообщения от диспетчера и запрашивать объяснение или исправление выявленного неправильного государства независимо от того, регулируется ли процедура получения основной информации об обработке специальным законом. Если запрос, адресованный контроллеру или процессору для объяснения или исправления неисправного состояния, не приводит к уточнению и / средства правовой защиты, он предоставляет разумные основания для осуществления надзорных функций Управления.
Подводя итог, отметим, что разграничение доступа к информации о работниках — это необходимая мера, которая позволит обеспечить сохранность данных и исключит их неправомерное использование.
Loading…
Источник: https://www.rs-tran.ru/order-to-access-personal-data-of-employees-who-has-access-to-personal-data.html
Персональные данные: защита без нападений. Как защитить ПДн на сайте
2018-09-11 12:47:00
Тем, кто не ознакомился с первой частью материала, рекомендуем предварительно прочитать её.
Пошаговая инструкция для владельца сайта по защите персональных данных
- Составьте список всех форм, в которых вы собираете персональные данные и укажите какие именно данные, для какой цели
- Под каждой такой формой поставьте чек-бокс (место для проставления «галочки») с текстом: «Даю согласие на обработку своих персональных данных» или более развернутый вариант: «Даю согласие на обработку своих персональных данных на условиях и для целей, определенных в Согласии на обработку персональных данных», с указание гиперссылки на текст такого согласия. Ещё более продвинутый вариант: «Нажимая на кнопку „Отправить“, я даю свое согласие на обработку персональных данных и принимаю условия Пользовательского соглашения». В последнем случае вы заключаете договор с каждым пользователем, а в Пользовательском соглашении должны содержаться условия согласия на обработку ПДн и все остальные цели и условия работы сайты и обработки ПДн.
- Подготовьте и разместите на сайте документа с условиями обработки ПДн, коим может быть Согласие или часть Пользовательского соглашения, а равно оно может быть частью Политики обработки ПДн. Укажите в нём следующую информацию согласно ст. 9 Федерального закона № 152-ФЗ:
- наименование организации или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых субъект дает согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
- срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
- подпись субъекта ПДн.
Закон требуется указывать в согласии ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, но на это требование в онлайне в отличии от оффлайна часто закрывают глаза.
- Подготовьте и разместите в свободном доступе Политику в отношении обработки персональных данных и разместите её на сайте в свободном доступе.
- Подайте до начала обработки ПДн уведомление об обработке ПДн в Управление Роскомнадзора, где зарегистрирована ваша компания, ИП или вы как физическое лицо. Уведомление подаётся в электронном и бумажном виде, и представляет собой объемный документ, который самостоятельно без соответствующих знаний заполнить правильно достаточно сложно.
Не стоит забывать, что это лишь видимая часть тех документов, которые должны быть у любого оператора персональных данных и не стоит ограничиваться только указанным выше.
Разграничение доступа
Закон о персональных данных обязывается разграничивать доступ к разным видам ПДн, что делается в целях соблюдения конфиденциальности. Достигается это распределением среди сотрудников прав доступа к определённым группам и категориям ПДн.
За редким исключением (когда используется онлайн-бухгалтерия) бухгалтеру могут понадобиться данные о работнике для начисления ему заработной платы, уплаты взносов, при направлении работников в командировку паспортные данные для покупки билетов.
Но работодатель (оператор ПДн) может разрешить доступ к ПДн работников только специально уполномоченным лицам, при этом указанным лицам будут доступны только те данные, которые необходимы для выполнения конкретных обязанностей работника.
Для этого работодатель издает приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (приказ о разграничении доступа), с указанием критериев необходимых персональных данных, аналогичным образом надо поступить и с ПДн клиентов и иных лиц.
К примеру, в медицинской организации доступ к состоянию здоровья пациента у медицинской сестры, сотрудника регистратуры и лечащего врача очевидно должен быть разным.
В ИТ-компании дизайнеры не обязательно должны иметь доступ к базе данных (БД) клиентов, которые оставляют заявки на сайте их продукта, или тем более к БД, содержащей сведения о покупателях интернет-магазина, который поддерживает их работодатель для стороннего заказчика.
Одним из основных принципов обработки ПДн является постановка заранее определенных конкретных целей обработки ПДн, что предполагает, что вы не должны собирать их избыточное количество и должны всегда быть готовы предоставить обоснование необходимости их обработки, которое в общем виде должно быть сформировано в Политике обработке ПДн каждого оператора.
Персональные данные работников
Трудовой Кодекс РФ вводит дополнительные особенности обработки и хранения ПДн:
-
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На первый взгляд может показаться, что ПДн работников в рекламных и маркетинговых целях использовать нельзя, однако это не так.
-
Все персональные данные работника следует получать у него самого. Если это невозможно, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
-
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
-
Работодатель не имеет права получать и обрабатывать специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), за исключением особых случаев, указанных в законе. Аналогично и в отношении членства в общественных объединениях или профсоюзной деятельности
-
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
-
Работники должны быть ознакомлены с Политикой обработки ПДн и иные документами в этой сфере.
Ситуация: для выдачи зарплатных карт нужно получать согласие работников на передачу их конкретных ПДн (обычно ФИО, адрес, дата и место рождения) в банк и перед этим в обязательном порядке подать уведомление в Роскомнадзор, т.к. с точки зрения законодательства «это выходит за пределы трудовых отношений».
Когда надо не надо подавать уведомление о начале обработке ПДн в Роскомнадзор?
Если то, что вы обрабатываете — не персональные данные, а также при обработке ПДн, если они:
- получены от работников;
- получены при заключении договора, но не распространяются (делаются доступными для всех), не предоставляются третьим лицам без согласия, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными ПДн;
- включают только ФИО субъектов ПДн;
- нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Остановимся на варианте, когда у вас с клиентом есть договорные отношения. С практической точки зрения, если у вас всегда есть с клиентам договорные отношения, которые предшествуют получению от них ПДн, то вы не должны подавать уведомление.
На практике абсолютное большинство сайтов собирает ПДн в онлайн-чатах и сервисах обратных звонков и только потом эти потенциальные клиенты становятся (да и не все) реальными клиентами, которые заключают договоры с компанией.
Более того, даже если вы работаете на рынке B2B, то в этом случае с вами всё также взаимодействуют обычные люди, хоть и являющиеся работниками других фирм.
Само по себе уведомление в Роскомнадзор содержит всю сводную информацию из мер по защите информации, списка информационных систем, куда вы собираете ПДн, а также их местонахождения и многое другое.
Его правильное заполнение трудоёмко, так как требуется проводить аудит информационных потоков и баз данных компании, а также иметь в наличии подготовленные документы по защите ПДн внутри компании. Поэтому единственным действенным вариантом для исключения подачи такого уведомления является оценка возможности представить всех пользователей вашего сайта его клиентами, которые заключили договор с вами. Такой подход является приемлемым не для всех видов бизнеса и полностью не приемлем для тех, кто ведёт оффлайн-бизнес.
Избежать подачи уведомления в Роскомнадзор можно, если вы начнете собирать данные после регистрации посетителей на сайте.
При этом такие посетители должны будут согласиться с Пользовательским соглашением, что создаст договорные отношения. Не обязательно, чтобы эти отношения были обязательно на предмет покупки или продажи товаров или услуг.
Это могут быть возмездные или безвозмездные услуги по предоставлению информации, возможность пользоваться сервисом сайта и т.п.
Важно: наличие хотя бы ещё одной группы клиентов, которые вам передают ПДн без договора, приводит к обязанности подачи уведомления регулятору.
Уведомлять Роскомнадзор о намерении обрабатывать персональные данные также не нужно, если:
- обрабатывает ПДн соискателей (размещает вакансии в Интернете, получает и хранит резюме кандидатов);
- используете специализированные компьютерные программы для обработки сведений о работниках;
- применяет такие программы для обработки данных клиентов при дистанционной продаже товаров.
Исключение при дистанционной торговле связано с тем, что заключая договор купли-продажи через интернет (дистанционно) покупатель передает магазину (оператору) свои данные исключительно с целью осуществления покупки, её выдачи или доставки (Информация Роскомнадзора от 08.11.2017).
В этой связи возникает необходимость в обязательном порядке иметь оферту или правильнее — Пользовательское соглашение, которое по сути и будет являться договором купли-продажи, определять все «правила игры» между покупателем и интернет-магазином.
Обычно в такое Пользовательское соглашение включаются условия о возможности рассылки рекламных и иных сообщений, право магазина предоставлять ПДн клиента в целях доставки товара, а также определяются иные цели использования ПДн клиента.
В противном случае интернет-магазин может лишь отправить товар клиенту, но под вопросом остаётся даже возможность передать товар в службу доставки, если она является отдельным юридическим лицом, а не самим магазином
В остальных случаях такое уведомление должно быть подано до начала обработки ПДн.
Конкретные ситуации, когда требуются от компании действия по защите персональных данных, получение согласия и т.п.:
-
Для использования фотографий на пропусках, нужно письменное согласие гражданина. Эту позицию, озвученную Роскомнадзором еще в 2013 году, подтвердил ВС РФ в определении от 05.03.2018 г. Если согласие не оформить, компанию могут оштрафовать на сумму от 15 тыс. до 75 тыс. руб.
-
Перечень третьих лиц, которым будут передаваться ПДн, должен быть конкретным. Иными словами, если вы хотите кому-то передавать данные своих работников или клиентов, то позаботьтесь заранее о том, чтобы включить в согласие или оферту сведения о своих партнёрах, подрядчиках, заказчика и т.п.
-
Для установления видеонаблюдения за работником на рабочем месте в обязательном порядке требуется его письменное согласие, но лучше это «согласие получить» сразу, указывая особенности работы в трудовом договоре или в Положении о внутреннем трудовом распорядке (ПВТР).
-
Заблаговременное размещение графических и\или текстовых предупреждений о возможной фото-, видеосъемке в публичных местах, установленных администрацией помещения и\или организатором мероприятия (свадьба, концерт, ночной клуб), исключает необходимость получения согласий от каждого из посетителей.
Источник: https://MainMine.ru/pro/pd-2
Перечень лиц имеющих доступ к персональным данным
Чтобы избежать ответственности или хотя бы свести ее к минимуму, мы проанализировали замечания Роскомнадзора и предлагаем вам список из 10 ошибок, которые не стоит делать при составлении документов для защиты персональных данных ваших работников. А для наглядности приведем правильные формулировки и образцы заполнения необходимых на каждом предприятии документов.
——————————— Официальный сайт Роскомнадзора России www.
rsoc. ru. 1. Не указываются конкретные нормы закона, на основании которых работодатель ведет обработку персональных данных. Обратите внимание: Роскомнадзор говорит о том, что в документах следует четко перечислить соответствующие пункты и статьи конкретных нормативных актов, регламентирующих осуществляемый вид деятельности компании и касающихся обработки персональных данных.
Положение о защите персональных данных работников
В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия. 3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (образец заполнения)
→ → → Тематика документа: Файл текстовой версии: 3,3 кб Сохранить документ: 07.10.2011 N 3-лс Об установлении списка лиц, имеющих доступ к персональным данным работников ООО «Полигон-2» В соответствии со ст.
88 ТК РФ и п. 4.1 Положения о персональных данных ООО «Полигон-2» ПРИКАЗЫВАЮ: 1.
Определить следующий перечень работников Общества, имеющих доступ к персональным данным работников ООО «Полигон-2»: — генеральный директор С.Н.
Антонов; — заместитель генерального директора по персоналу С.Л.
Ефимов; — начальник отдела кадров И.А. 2. Контроль исполнения приказа возложить на заместителя генерального директора по персоналу С.Л.
Ефимова. Генеральный директор Антонов С.Н.
Антонов С приказом ознакомлены: заместитель генерального директора Ефимов С.Л. Ефимов по персоналу 07.10.2011 главный бухгалтер Карасева Т.В. Анохин строительного отдела 07.10.2011
Помощь юриста на сайте
- Составим качественно юридический документ
- Специализируемся во всех областях права
- Задайте вопрос и получите ответ в течение 10 минут
Спросить юриста Договоры по группам Договоры по тегам Цитата на века Слёзы, которыми плачешь по себе, ядовиты.
(Авессалом Подводный) © 2019 Все-документы.ру.
|
Приказ о допуске к информационной системе >>> Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников >>> Изменение и дополнение персональных данных
Черемушинским———————————(дата выдачи и наименованиеУВД г.
Разграничение доступа к персональным данным работников
/ / 4 сентября 2019 597 0 Разграничение доступа к персональным данным — это необходимая мера для обеспечения их сохранности и недопущения к охраняемой информации посторонних лиц.
О мерах, предпринимаемых для разграничения доступа к таким данным в организации, и расскажет предлагаемая нами статья.
Хозяйственная деятельность организации предполагает обработку персональных данных, которые собираются для разных целей.
Например, для ведения кадровой документации, исполнения обязанностей перед контрагентами, контроля доступа на охраняемые объекты и т. д. Часть 3 статьи 5 закона «О персональных данных» от 27.07.
2006 № 152-ФЗ запрещает объединение баз данных или иных носителей информации, содержащих личные данные, цели обработки которых различны.
Часть 1 статьи 19 ФЗ № 152 обязывает организацию также обеспечивать все необходимые и достаточные меры для защиты собираемых данных, в том числе недопущение доступа к ним посторонних лиц.
Исполнение перечисленных выше требований достигается за счет определения прав сотрудников организации на доступ к носителям информации. Прежде всего речь в таком случае идет о компьютерных сетях, программах, файлах, базах данных, с использованием которых обрабатываются личные сведения.
Неограниченным доступом ко всей информации, а также сведениям об используемых средствах защиты данных могут обладать лишь руководитель организации, системный администратор и лицо, ответственное за обеспечение безопасности данных в организации, определяемое согласно требованиям статьи 22.1 ФЗ № 152.
Доступ прочих сотрудников ограничивается объемом данных, который необходим им для исполнения своих непосредственных обязанностей.
Наиболее распространенный способ разграничения доступа — это издание специального приказа, в котором поименованы все сотрудники, имеющие права на обработку данных, а также указываются носители информации, к которым возможен доступ каждого конкретного сотрудника, условия доступа (пароли, ключи) и перечень допустимых операций с данными. Также права сотрудников на доступ к носителям информации могут быть определены в соответствующих инструкциях по работе с ними.
В организации могут создаваться сводные перечни (списки) источников данных, которые находятся в общем доступе.
Порядок создания таких источников регулируется статьей 8 ФЗ № 152, согласно которой допускается включение в них инициалов, номеров телефона, адресов и иных значимых сведений о сотрудниках.
Главное, помнить при этом, что включение в такие источники личных данных граждан, согласно части 1 статьи 8 ФЗ № 152, возможно только с их письменного согласия.
Кроме того, организация обязана удалить такие данные по требованию их субъекта либо по решению суда. *** Подводя итог, отметим, что разграничение доступа к информации о работниках — это необходимая мера, которая позволит обеспечить сохранность данных и исключит их неправомерное использование. Подписывайтесь на наш канал в Яндекс.Дзен!
Советуем прочитать 23 апреля 2019 2518 0 18 сентября 2019 2959 0 18 сентября 2019 2257 0 Новости раздела 22 мая 2019 169 0 15 ноября 2019 158 0 29 августа 2019 279 0 Ваши вопросы Получить e-mail уведомление об ответе С условиями согласен Отправить
Образцы документов при работе с персональными данными работников
14 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17.11.2007 N 781 ПРИКАЗЫВАЮ:
- Допустить к информационной системе «1С» для работы с персональным данными работников ООО «Полигон-2» следующих работников:
зам. Генерального директора по персоналу С.Л. Ефимова; главного бухгалтера Т.В.
Карасеву; начальника отдела кадров И.А. Литвинова; специалиста по кадрам И.А. Перова.
- Контроль исполнения приказа возложить на зам. Генерального директора по персоналу Ефимова С.Л.
- Предупредить указанных работников об ответственности за разглашение и (или) утрату информации, представляющей персональные данные работников Общества.
Генеральный директор _________________________ С.Н.
Антонов С приказом ознакомлены:(подписи, даты) ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Приказ об утверждении списка лиц, имеющих доступ к персональным данным работников (образец заполнения) Общество с ограниченной ответственностью «Полигон-2» (ООО «Полигон-2») ПРИКАЗ 04.
Как организовать защиту персональных данных сотрудников
Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.
Какие сведения указывают в Положении о защите персональных данных Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных.
Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба. Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.
В Положении должно быть указано: цель и задачи фирмы в области защиты персональных данных;понятие и состав персональных данных;в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;как происходит сбор персональных данных;как они обрабатываются и используются;кто (по должностям) в компании имеет к ним доступ;как персональные данные защищаются от несанкционированного доступа;права работника в целях обеспечения защиты своих персональных данных;ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Как оформить доступ к персональным данным начальнику структурного подразделения, если его нет в списке допущенных к персональным данным?
Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации.
В соответствии с п. 7 ст. 86 ТК РФ на работодателя возложена обязанность по защите персональных данных работника от неправомерного их использования или утраты.
Следовательно, работники, которые имеют доступ к персональным данным других работников, обязаны не разглашать эти данные, которые стали им известны в связи с выполнением ими трудовых обязанностей.
При этом привлечь к ответственности работников, которые разгласили такую информацию, можно, только если она стала известна им в связи с исполнением трудовых обязанностей и они обязались не разглашать такие сведения (п.
Источник: https://civilyur.ru/perechen-lic-imejuschih-dostup-k-personalnym-dannym-92947/