Персональные данные: Ответы на часто задаваемые вопросы. Часть 6

• 51. Есть ли услуга или помощник для подачи информации в Роскомнадзор о том, что организация обрабатывает ПДн?
• 52. Нужно ли брать согласие в письменной форме от работника на обработку его персональных данных сторонней компании-оператора 1С, СБИС. Это же абсурд, так как данные действия нужны работодателю для ведения кадрового учета и передачи сведений в госорганы. Предположим сотрудник не согласен на обработку своих данных в 1С и передачи через СБИС, как быть.
• 53. Работа в 1С-Фреш ,сдача отчетности является трансграничной передачей?
• 54. Как правильно сформулировать цели обработки ПД для общеобразовательной организации, если бухгалтерия централизованная, а отдела кадров нет в штате, только секретарь?
• 55. Сколько должны храниться согласия на обработку ПД, после достижения цели?
• 56. Согласие на передачу персональных данных третьим лицам (конкретному лицу) попадает по ст. 10.1?
• 57. Если работник просит уничтожить персональные данные, при своем увольнении, но при этом отчетную (бухгалтерскую) документацию мы не можем уничтожить, что в данном случае делать Оператору (работодателю). Возможно ли ответить работнику отказом, с указанием обоснования?
• 58. Является ли предоставление мед.заключения при трудоустройстве - обработкой ПДн? Заключение работодатель забирает. В заключении указано: годен/не годен на занимаемую должность. Диагноза нет в заключении. Это нужно для понимания оценки вреда ПД.
• 59. Как правильно понимать "обработка ПДн без использования средств автоматизации"? Обработка ПДн в 1С является автоматизацией или нет?
• 60. Если ИП работает давно, на учете в РКН не стоит, до мая должен подать уведомления? И будут ли санкции к ИП?

51. Есть ли услуга или помощник для подачи информации в Роскомнадзор о том, что организация обрабатывает ПДн?

Возможность отправки уведомления есть в сервисе "152DOC для 1С". Вопросы по заполнению можно задавать в онлайн чат, где помогут специалисты по работе с ПДн.

52. Нужно ли брать согласие в письменной форме от работника на обработку его персональных данных сторонней компании-оператора 1С, СБИС. Это же абсурд, так как данные действия нужны работодателю для ведения кадрового учета и передачи сведений в госорганы. Предположим сотрудник не согласен на обработку своих данных в 1С и передачи через СБИС, как быть.

В соответствии с требованиями статьи 88 Трудового кодекса Российской Федерации при передаче персональных данных работника работодатель должен не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами. Таким образом, по общему правилу при передаче ПД работника третьим лицам необходимо получить от него согласие, которое должно отвечать требованиям части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

53. Работа в 1С-Фреш ,сдача отчетности является трансграничной передачей?

Если вы передаете отчетность, содержащую ПДн граждан РФ за границу иностранному лицу, тогда да.

54. Как правильно сформулировать цели обработки ПД для общеобразовательной организации, если бухгалтерия централизованная, а отдела кадров нет в штате, только секретарь?

Цели обработки в данном случае можно вывести из положений законодательства, например, Федеральный закон "Об образовании в Российской Федерации", Устава образовательной организации, анкет и иных документов, которые предполагают внесение в них ПД.

55. Сколько должны храниться согласия на обработку ПД, после достижения цели?

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» срок хранения не установлен. Рекомендуется минимум придерживаться сроков исковой давности.

56. Согласие на передачу персональных данных третьим лицам (конкретному лицу) попадает по ст. 10.1?

Передача ПД конкретному лицу является предоставлением, в связи с чем, в данном случае положения статьи 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» на такие действия не распространяются.

57. Если работник просит уничтожить персональные данные, при своем увольнении, но при этом отчетную (бухгалтерскую) документацию мы не можем уничтожить, что в данном случае делать Оператору (работодателю). Возможно ли ответить работнику отказом, с указанием обоснования?

Да, можно. Нужно обязательно ответить. Но надо проверить, каждый процесс, где участвуют перс данные работника, что нужно уничтожить, а что можно хранить. Правовым основанием обработки ПД уволенного работника являются пункт 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также соответствующие положения законодательства, возлагающие соответствующие обязанности на оператора.

58. Является ли предоставление мед.заключения при трудоустройстве - обработкой ПДн? Заключение работодатель забирает. В заключении указано: годен/не годен на занимаемую должность. Диагноза нет в заключении. Это нужно для понимания оценки вреда ПД.

Является, если такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (пункт 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

59. Как правильно понимать "обработка ПДн без использования средств автоматизации"? Обработка ПДн в 1С является автоматизацией или нет?

В соответствии с пунктом 4 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных с помощью средств вычислительной техники является автоматизированной обработка персональных данных. Таким образом, использование любых программных средств, установленных на ПК и используемых для обработки персональных сведений, подпадают под обработку ПД с использованием средств автоматизации. В 1С присутствует смешанная обработка ПДн!

60. Если ИП работает давно, на учете в РКН не стоит, до мая должен подать уведомления? И будут ли санкции к ИП?

В соответствии с частью 1 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 данного Закона. В настоящее время ответственность за неуведомление об обработке ПД предусмотрена ст. 13.11 КоАП РФ.