Закон о персональных данных и их защите

[Ажар]

Коллеги, по поиску не нашла похожей темы.

вопрос собственно в обязанностях работадателя по сбору и защите ПД работников в связи с принятием Закона РК о персональных данных и их защите от 21 мая 2013 (Закон).

согласно ст. 25 данного Закона устанавливается перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами РК.

Вот этот перечень (Приказ Министра по ЧС от 15 августа 2013 № 360.

1. Фамилия, имя, отчество (при его наличии).

2. Сведения о смене фамилии, имени, отчества.

3. Подпись.

4. Число, месяц, год рождения.

5. Место рождения.

6. Сведения, касающиеся национальной принадлежности.

7. Данные документа, удостоверяющего личность: наименование документа, номер документа, дата выдачи документа, срок действия документа, орган, выдавший документ.

8. Гражданство (прежнее гражданство), дата приобретения гражданства Республики Казахстан, дата утраты гражданства Республики Казахстан.

9. Адрес места жительства, дата регистрации по месту жительства или по месту пребывания.

10. Адрес электронной почты.

11. Номера контактных телефонов.

12. Характеристика.

13. Индивидуальный идентификационный номер.

14. Сведения о номере, серии и дате выдачи трудовой книжки и записей в ней.

15. Содержание и реквизиты служебного контракта, гражданско-правового договора.

16. Сведения об имуществе (имущественном положении): автотранспорт (марка, место регистрации), адреса размещения.

17. Сведения о наличии, номерах банковских счетов.

18. Сведения, указанные в оригиналах и копиях распоряжений по личному составу и материалах к ним.

19. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения).

20. Материалы по аттестации.

21. Материалы по внутренним служебным расследованиям.

22. Сведения, касающиеся состояния здоровья, медицинские заключения установленной формы.

23. Сведения о временной нетрудоспособности.

24. Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющимся основанием для предоставления льгот и статуса).

25. Сведения о трудовой деятельности (данные о трудовой деятельности на текущее время с полным указанием должности, структурного подразделения, организации и ее наименования, общий и непрерывный стаж работы, адреса и телефоны, а также реквизиты других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях).

26. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, в том числе наименование и местоположение образовательного учреждения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками).

27. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, квалификация и специальность по окончании образовательного учреждения).

28. Сведения о заработной плате (в том числе данные по окладу, надбавкам, налогам).

29. Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии с учета).

30. Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруги (а), данные документа, удостоверяющего личность супруги (а), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев, наличие детей и их возраст).

31. Наличие (отсутствие) судимости.

32. Биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность (фотографии в личном деле, ксерокопиях с документов, удостоверяющих личность и имеющих фотографию владельца в личном деле, группа крови, рост, вес).

Вопрос: Теперь работодатель должен будет собрать эти данные в обеспечение Закона? я понимаю, что большая часть данных и так имеется в личных делах, но есть и такие данные, которые, не указаны в Трудовом кодексе. Например,

16. Сведения об имуществе (имущественном положении): автотранспорт (марка, место регистрации), адреса размещения.

17. Сведения о наличии, номерах банковских счетов

22. Сведения, касающиеся состояния здоровья, медицинские заключения установленной формы

30. Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруги (а), данные документа, удостоверяющего личность супруги (а), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев, наличие детей и их возраст).

32. Биометрические персональные данные... группа крови, рост, вес.

Пож-ста, поделитесь идеями, кто уже начал "подготовку" данных у себя на предприятии по этому Закону!

[Lenysia]

Работодатель не обязан собирать эти данные.

Для заключения ТД, необходимо предоставить только документы предусмотренные статьей 31 ТК РК.

Если в процессе работы к Вам попали какие либо из перечисленных документов, тогда Вы обязаны в соответствии с эти законом хранить и обрабатывать , не разглашать и т.д

Но ни как не требовать предоставить эти данные, а то "полицейское" государство получится.

Мне как работодателю вся эта информация не нужна про работника (счета, недижимость,движимость, куча жен и детей, кредиты, депозиты) и так проблем хватает.

Перечень, который Вы привели , разве это не внутренний приваз Министерства по ЧС?

Изменено 25 Сентября 2013 пользователем Lenysia

[Ажар]

Перечень, который Вы привели , разве это не внутренний приваз Министерства по ЧС?

в ст. 25 Закона как раз-таки и есть ссылка на этот перечень.

Изменено 25 Сентября 2013 пользователем Ажар

[Лоскутов Игорь Юрьевич]

Уберу я эту ссылку, просто сейчас каждый госорган такой приказ утверждает.

[Лоскутов Игорь Юрьевич]

Где-то на подходе проект-

Проект

Постановление Правительства Республики Казахстан

Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

В соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Премьер-Министр

Республики Казахстан

С. Ахметов

Утверждены

постановлением Правительства

Республики Казахстан от

«___»______2013 года №______

Правила

определения собственником и (или) оператором перечня персональных

данных, необходимого и достаточного для выполнения

осуществляемых ими задач

1. Общие положения

1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее - Правила) разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

2. В настоящих Правилах используются следующие основные понятия:

1) персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

2) сбор персональных данных - действия, направленные на получение персональных данных;

3) собственник базы, содержащей персональные данные (далее - собственник) - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

4) оператор базы, содержащей персональные данные (далее - оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

5) обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

6) субъект персональных данных - физическое лицо, к которому относятся персональные данные;

7) общедоступные персональные данные - персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности;

8) персональные данные ограниченного доступа - персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

2. Порядок определения собственником и (или) оператором перечня персональных

данных, необходимого и достаточного для выполнения осуществляемых ими задач

3. Собственник и (или) оператор осуществляют сбор, обработку персональных данных в порядке, установленном Законом «О персональных данных и их защите» (далее - Закон) и иными нормативными правовыми актами Республики Казахстан.

4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

5. Собственникам и (или) операторам в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач необходимо:

1) проанализировать осуществляемые задачи и определить перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач;

2) на постоянной основе проводить анализ осуществляемых задач и собираемых, обрабатываемых персональных данных;

3) по результатам анализов вносить изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости. Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения.

Изменения и (или) дополнения персональных данных осуществляется в течение одного рабочего дня, с момента подтверждения достоверности соответствующих документов.

6. Отнесение отраженных в перечне персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, к общедоступным или ограниченного доступа определяются собственником и (или) оператором в соответствии с законодательством Республики Казахстан.

При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться принципами сбора, обработки и защиты персональных данных:

1) соблюдения конституционных прав и свобод человека и гражданина;

2) законности;

3) конфиденциальности персональных данных ограниченного доступа;

4) равенства прав субъектов, собственников и операторов;

5) обеспечения безопасности личности, общества и государства.

Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач должно осуществляться только для ранее заявленных целей их сбора.

Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач, в соответствии с законодательством Республики Казахстан.

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к проекту постановления Правительства Республики Казахстан

«Об утверждении Правил определения собственником и (или) оператором

перечня персональных данных, необходимого и достаточного для

выполнения осуществляемых ими задач»

№

Перечень сведений, которые должны быть отражены в пояснительной записке

Информация государственного органа разработчика

1.

Государственный орган - разработчик

Министерство внутренних дел Республики Казахстан

2.

Обоснование необходимости принятия проекта

Проект постановления Правительства подготовлен в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите»

3.

Предполагаемые социально-экономические и/или правовые последствия в случае принятия проекта

Не предполагает

4.

Предполагаемые финансовые затраты, связанные с реализацией проекта

Не предполагает

5.

Конкретные цели, сроки ожидаемых результатов и предполагаемая эффективность принятия проекта

Реализация Закона Республики Казахстан «О персональных данных и их защите»

6.

Сведения об актах Президента и /или Правительства, принятых ранее по вопросам, рассматриваемым в проекте, и результатах их реализации

Нет

7.

Необходимость последующего приведения законодательства в соответствии с проектом

Отсутствует

8.

Результаты дополнительной экспертизы (правовой, экономической, экологической, финансовой и других) в случае ее проведения по поручению Премьер-Министра в других организациях

Не проводились

9.

Иные сведения

Отсутствуют

10.

Разрешается передача материалов (выписок) на мобильные устройства членов Правительства через информационную систему «Мобильный офис Правительства Республики Казахстан»

11.

Информация о размещении проекта на Интернет-ресурсе

Размещен на Интернет-ресурсе www.mvd.gov.kz

Министр внутренних дел

Республики Казахстан

К. Касымов

«____» _______2013 г.

[Лоскутов Игорь Юрьевич]

Почему перечни разные?

Потому-что речь в данном случае идет о -

8) база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;

9) собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

Вот чего вы в своей базе собираете, если она конечно у вас вообще есть - о том и речь по сути.

[Ажар]

Вот чего вы в своей базе собираете, если она конечно у вас вообще есть - о том и речь по сути.

то бишь во исполнение нового Закона для работодателя по сути ничего не поменялось, при условии что согласие работников на обработку персональных данных собирается + личные дела хранятся месте, исключающем несанкционированный к ним доступ?

[Лоскутов Игорь Юрьевич]

По сути- да, ну еще пару-тройку приказов со ссылкой на новый закон издать.

[Ажар]

Игорь Юрьевич, спасибо!

Коллеги, еще есть вопросы по этому закону. я правильно понимаю, что в силу ст. 6 закона РК О персональных данных и их защите такие данные как ФИО, дата рождения и адрес буду являться общедоступными персональными данными?

Является ли информация о месте работы и специальности песрональными данными ограниченного доступа?

[Лоскутов Игорь Юрьевич]

Будет, поскольку-

1. В Гражданский кодекс Республики Казахстан (Общая часть), принятый Верховным Советом Республики Казахстан 27 декабря 1994 года

1) пункт 8 статьи 15 изложить в следующей редакции:

«8. Гражданин вправе требовать запрещения использования его имени, когда это было сделано без его согласия, кроме случаев, предусмотренных законами Республики Казахстан.»;

2) статью 16 дополнить пунктом 4 следующего содержания:

«4. Гражданин вправе требовать запрещения использования информации о его месте жительства или юридическом адресе, когда это было сделано без его согласия, кроме случаев, предусмотренных законами Республики Казахстан.».

Но что это дает?

По информации о месте работы и специальности - да, но опять же, к чему вопрос?

[Ажар]

спасибо. Вопрос к тому, что некоторые наши сотрудники ведут базу данных специалистов других организаций с кем они взаимодействуют. В данную базу данных вносятся ФИО, спец-ть, место работы. И теперь после вступления в силу данного закона, как нам будет нужно далее вести такие базы данных? Это нам будет нужно письменное согласие от таких лиц получать?

[Гость новичок]

Добрый день! хочу поднять вопрос по использованию персональных данных поставщиками коммунальных услуг. как в данном случае, тоже у всех потребителей будут запрашивать согласие, как будут квитанции доставлять

[Лоскутов Игорь Юрьевич]

А я бы к этим случаям применил-

Статья 3. Действие настоящего Закона

1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.

2. Особенности сбора, обработки и защиты персональных данных могут регулироваться иными законами и актами Президента Республики Казахстан.

3. Действие настоящего Закона не распространяется на отношения, возникающие при:

1) сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан;

Т.е. собираете, но исключительно для личных нужд.

[Лоскутов Игорь Юрьевич]

Что попало пишут про закон :)

http://pravo.zakon.kz/4587155-zakon-o-personalnykh-dannykh-vsjo-eshhe.html

В соответствии с новым законом все организации до февраля 2014 года обязаны составить базы данных о своих сотрудниках и сдать их в специальные органы.

[Гость Карабас]

Добрый день! хочу поднять вопрос по использованию персональных данных поставщиками коммунальных услуг. как в данном случае, тоже у всех потребителей будут запрашивать согласие, как будут квитанции доставлять

Тоже хотелось бы знать

[Lenysia]

В соответствии с новым законом все организации до февраля 2014 года обязаны составить базы данных о своих сотрудниках и сдать их в специальные органы.

Просмотрела закон, такой информации не нашла.

Изменено 20 Ноября 2013 пользователем Lenysia

[Лоскутов Игорь Юрьевич]

Еще ищите, просто так же писать не будут :)

[dragster]

Это пункт 2 статьи 31 Закона?

"Собственники и (или) операторы обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствие с требованиями настоящего Закона." (т.е. до 25 февраля 2014)

Это косвенная ссылка, но прямого указания пока тоже не нашел.

[Лоскутов Игорь Юрьевич]

Извиняюсь, но сразу же сказал :)

Что попало пишут про закон :)

Очень много чуши журналисты пишут про закон.

Зачем не знаю, может недопонимают, недослышат, когда интервью берут

Предвосхищая вопрос, а зачем тогда мы к себе еще эту статью взяли -отвечу.

Взял для того, чтобы хотя бы знать заранее откуда такие нелепые мнения берутся, откуда ветер дует.

[dragster]

Получается, фраза

"В соответствии с новым законом все организации до февраля 2014 года обязаны составить базы данных о своих сотрудниках и сдать их в специальные органы."

не соответствует действительности.

[Лоскутов Игорь Юрьевич]

Конечно.

[acha]

Игорь . Добрый день.

Банк письменно обратился к нам о том что бы мы ознакомили его с письмом, в котором указанно, что Работник получил заем ( номер и дата договора не указана) и не погасил задолженность перед банком. Работник ознакомлен с письмом. Должен ли я брать письменное согласие на то , что письменно сообщу банку о том, что он ознакомлен с письмом.

Заранее благодарю.

[Лоскутов Игорь Юрьевич]

Не понял кто, кого и зачем ознакомил, а главное, при чем здесь персональные данные?

[dragster]

Уважаемые коллеги,

Если у кого-нибудь шаблоны для "Перечня необходимых персональных данных" и "Согласия на сбор и обработку, и использование" персональных данных работников для юридических лиц - работодателей, которые будут операторами баз данных. Если можно, будьте добры выложить здесь. Эти документы должны быть учреждены в организациях до 25 января 2014 г.?

С точки зрения трудового кодекса, я полагаю, перечни будут примерно у всех одинаковые.

[Ажар]

Коллеги, еще раз хотела бы поднять эту тему, а именно, что же все-таки является "общедоступными персональными данными"? В законе эти данные прямо не указаны.

Например, если я получила данные (ФИО, место работы, место учебы) о ком-то из социальной сети. Могу ли я вести базу таких данных и отправлять их заграницу, не неся при этом ответственности за нарушение закона о персональных данных и их защите?