text
Сегодня "Кадровое дело" всего за 10 990 руб.! | 8-(800)-222-15-37
Кадровое дело

о чем идет речь в фразе -Запрещается принятие на основании исключительно автоматизированной обработки персональных данных...

  • 11 августа 2018
  • 2

Вопрос

о чем идет речь в фразе -Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, только с согласия субъекта. Не могу понять о чем здесь идет речь и нужно ли мне это отражать в нашей политике? Не могу понять выше написанную фразу и каким образом она касается нас как гостиницы и надо ли ее прописывать в политике?

Ответ

Ответ на вопрос:

Например, если по результатам автоматизированной обработки данных будет выявлено, что у работника недостаточный уровень квалификации, то на этом основании уволить его как несоответствующего занимаемой должности нельзя (п. 3 ч. 1 ст. 81 ТК РФ), но при этом можно включить в план на обучение персонала.

Если у Вас автоматизированный контроль доступа, то на основании только данных этой системы привлечение работника к ответственности за прогул будет неправомерно, т.к. работник (1) мог войти на территорию по чужому пропуску или в обход системы (т.е. могут быть доказательства отсутствия прогула) и необходимо соблюдать процедуру ст. 193 ТК Ф.

В политике вы можете просто эту фразу повторить.

Ст. 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» установлено следующее:

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

В ст. 3 указанного Закона определено, что

персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных),

обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, автоматизированная обработка персональных данных - это обработка персональных данных с помощью средств вычислительной техники,

информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Таким образом, из указанных положений Закона №152-ФЗ следует, что возможны ситуации полностью автоматизированной обработки персональных данных с применением соответствующих информационных систем. Одним из примеров такой обработки может являться автоматизированный подбор персонала с использованием специальных компьютерных программ (т.н. роботов - рекрутеров).

В случае использования работодателем автоматизированной обработки персональных данных, в локальных нормативных актах по данному вопросу советуем учесть требования ст. 16 Закона №152-ФЗ (обязательное согласие субъекта персональных данных, если по результатам автоматизированной обработки принимаются какие-то решения), а также отразить вопросы, связанные с обеспечением необходимых мер безопасности при использовании соответствующих информационных систем (доступы, сохранность данных и т.д.).

Подробности в материалах Системы Кадры:

1.СитуацияЧто следует понимать под обработкой персональных данных сотрудника

Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации. В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений пункта 3 статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.

Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в пункте 6 Положения, утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687, статье 22.1 Закона от 27 июля 2006 г. № 152-ФЗ.

Кроме того, работодатель вправе поручить обработку персональных данных сторонней организации (ч. 3 ст. 6 Закона от 27 июля 2006 г. № 152-ФЗ). Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке (п. 3 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

2.Ситуация:Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. 8, 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона от 27 июля 2006 г. № 152-ФЗ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации.Об этом говорится в пункте 8 части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (ч. 5 ст. 88 ТК РФ). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в статье 19 Закона от 27 июля 2006 г. № 152-ФЗ и Требованиях, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. На их основе организация может выработать свою собственную систему защиты персональных данных.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

 уничтожение;

 изменение;

 блокирование;

 копирование;

 предоставление;

 распространение;

 иные неправомерные действия с персональными данными.

Такие правила установлены пунктом 6 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. 4, 7 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные пунктами 13–16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119. Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены составом и содержанием организационных и технических мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119).

3.Ситуация: Является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (ст. 87 ТК РФ). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись (ч. 3 ст. 68 ТК РФ).

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет административную ответственность (ст. 5.27 КоАП РФ). На это указывают и суды (см., например, постановление ФАС Московского округа от 26 октября 2006 г. № КА-А40/10220-06).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

4.Ситуация: Как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями пунктов 8−16 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в пункте 17 Требований, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Нина Ковязина, заместитель директора департамента медицинского образования и кадровой политики в здравоохранении Минздрава России

12.02.2018

С уважением и пожеланием комфортной работы, Илья Лебедев,

эксперт Системы Кадры

Рекомендации по теме

Школа

Самое выгодное предложение

Повышение квалификации для кадровиков

Получи официальный диплом о переподготовке

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
×
Пожалуйста, войдите на сайт

Пожалуйста, войдите на сайт.

Файлы для скачивания доступны только зарегистрированным пользователям.
Пройдите короткую регистрацию или войдите на сайт под своим логином.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Зарегистрироваться и скачать файлы
×
Пожалуйста, войдите на сайт

Пожалуйста, войдите на сайт.

Файлы для скачивания доступны только зарегистрированным пользователям.
Пройдите короткую регистрацию или войдите на сайт под своим логином.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
Зарегистрироваться и скачать файлы
×
Профессиональные тесты доступны только после регистрации!

Заполните короткую форму регистрации, чтобы продолжить тестирование на сайте.
Вас также ждет подарок: мы откроем вам доступ к 3 самым горячим статьям этого месяца от лучших экспертов России

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
чтобы завершить тест и забрать подарок
Мы еще не знакомы? Давайте прямо сейчас это исправим!

Пройдите короткую регистрацию и тут же получите 3 ценных преимущества:

  • читайте закрытые материалы
  • первыми узнавайте горячие кадровые новости
  • пользуйтесь ценными сервисами: расчетчиками стажа и остатками отпуска, умным графиком отпусков, производственными календарями на 2018 и 2019 год и пр.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Я тут впервые
И получить преимущества!
×

Пожалуйста, войдите на сайт.

Файлы для скачивания доступны только зарегистрированным пользователям.
Пройдите короткую регистрацию или войдите на сайт под своим логином.

Зарегистрироваться и скачать файлы

Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
Заказать звонок