Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Презентация для детей 9-11 лет для использования на уроке: /docs/deti_9-11zvuk.pptx
Презентация для детей 12-14 лет для использования на уроке: /docs/Deti_12-14_zvuk_2.pptx
2.1 Ограничения обработки данных
Обработка персональных данных разрешена только с согласия Субъекта персональных данных или если такая обработка разрешена применимым законодательством по месту обработки информации без согласия субъекта.
Согласие должно быть получено в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом.
В соответствии с Федеральным законом письменная форма согласия субъекта персональных данных, должна включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- при получении согласия от представителя субъекта персональных данных: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом;
- подпись субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом файлом уникальной электронной подписи.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии предусмотренных законом оснований. Заключение о наличии оснований для продолжения обработки персональных данных после отзыва согласия дается юридическим отделом АО «БАЙЕР» ответственному за организацию обработки персональных данных компании.
Если персональные данные получены АО «БАЙЕР» не от субъекта персональных данных, Подразделение-инициатор до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
- наименование и адрес АО «БАЙЕР» или фамилию, имя, отчество его представителя;
- цель обработки персональных данных и её правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
В соответствии с Федеральным законом компания освобождается от обязанности предоставлять субъекту персональных данных вышеперечисленные сведения, в частности, в следующих случаях:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных АО «БАЙЕР»;
- персональные данные получены АО «БАЙЕР» на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- предоставление субъекту персональных данных вышеперечисленных сведений нарушает права и законные интересы третьих лиц.
Получение персональных данных не от субъектов персональных данных предварительно согласовывается руководителем подразделения инициатора с ответственным за организацию обработки персональных данных и юридическим отделом АО «БАЙЕР».
2.2 Цель сбора персональных данных
3.1 Право на получение информации
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждения факта обработки персональных данных АО «БАЙЕР»;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников АО «БАЙЕР»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «БАЙЕР» или на основании Федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом N 152ФЗ или другими Федеральными законами.
Сведения предоставляются субъекту персональных данных или его представителю по его запросу либо обращении к Оператору или в иных случаях, установленных Законом,
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных АО «БАЙЕР»;
- подпись субъекта персональных данных или его представителя.
Субъект персональных данных вправе обратиться повторно к АО «БАЙЕР» или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Законом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. АО «БАЙЕР» вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям Закона.
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Закона.
3.2 Право требовать уточнения или исправления данных
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
3.3 Отказ в праве уведомления или исправления данных
Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, ограничено случаями, предусмотренными ч.8 ст.14 Федерального закона N 152ФЗ, в частности, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
В случае если в представлении сведений или внесении в них изменений по запросу субъекта данных отказано, субъект уведомляется о причинах отказа.
3.4 Порядок получения информации субъектами персональных данных
В целях соблюдения предусмотренных Законом прав субъектов персональных данных, АО «БАЙЕР» организован приём:
- письменных запросов и требований, электронных запросов и требований;
- личных обращений субъектов к ответственному за организацию обработки персональных данных.
3.5 Уничтожение данных
Если субъект данных предоставляет подтверждение того, что в сложившейся ситуации цель обработки данных исчерпана, необоснованна или более не правомерна, соответствующие персональные данные уничтожаются (за исключением случаев, когда законодательством предусмотрено обратное).
Уничтожение персональных данных либо носителей персональных данных осуществляется согласно принятой в АО «БАЙЕР» процедуре уполномоченными на это лицами.
3.6 Право на обжалование
Субъект персональных данных вправе обжаловать действия или бездействие оператора в соответствии с Федеральным законом.
Защита персональных данных
- Зачем необходимо защищать персональные данные?
- Как защитить персональные данные интернет-магазину?
- Описание закона о ПД
- Нормативно-правовая база
- СМИ о персональных данных
С каждым днём вопрос защиты персональных данных становится все острее. У организаций остаётся все меньше времени, чтобы привести свои информационные системы в соответствие с ФЗ № 152-ФЗ. То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает законные требования, и ее деятельность может быть приостановлена регулирующим органом.
Рассмотрим основные положения ФЗ «О персональных данных», с которыми теперь должны считаться представители бизнеса и госсектора. Прежде всего, следует отметить 5 ст. закона – «Принципы обработки персональных данных», согласно которой цели обработки приватной информации должны соответствовать целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора. На практике это означает, что организация обязана прямо во время сбора личных сведений уведомить граждан о том, для чего ей эти сведения понадобились и что она будет с ними делать. Более того, единожды заявив о своих целях, организация не может просто так их изменить, не поставив в известность граждан.
В ч.2 ст.5 указано очень важное с точки зрения IT-безопасности требование к операторам персональных данных. «Хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Базовая концепция нового закона нашла свое отражение в ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»). Рассмотрим эти статьи подробнее.
Согласно ст.6, основным условием обработки приватных сведений является согласие на это владельца персональных данных, то есть самого гражданина. Из этого условия существует ряд исключений. Например, общедоступными являются некоторые приватные сведения высших чиновников и кандидатов на выборные должности. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта чувствительной информации. Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, являются п.2.2 и 2.5 ст.6. Согласно первому из них, разрешена «обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных». Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи». Однако во всех остальных случаях, бизнес просто обязан спросить у гражданина разрешение на обработку его личных сведений.
Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае, если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.
В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.
Можно резюмировать, что бизнес должен получить согласие владельца приватных данных на обработку этой информации и обеспечить конфиденциальность персональных сведений. При этом согласно 9 ст., компания должна получить письменное согласие гражданина на обработку его личных записей, которое в случае возникновения конфликтных ситуаций должно быть предъявлено в суде. Отметим, что в согласии обязательно указываются цель обработки персональных данных, перечень самих данных и действий с ними и срок, в течение которого действует согласие (а также порядок его отзыва).
При нарушении требований закона «О персональных данных» виновные лица (согласно ст.24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ.
Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступает в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.
Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.
Защита информации и персональных данных
Собирая воедино все указанные выше требования ФЗ «О персональных данных», можно сделать ряд выводов. Прежде всего, о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. Другими словами, российским компаниям теперь придется иметь дело с новым классом информации. Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый ФЗ практически требует создать еще один класс информации – персональные данные (клиентов, служащих и т.д.). Однако очевидно, что изменение принципов классификации влечет за собой модификацию политики IT-безопасности. Следовательно, бизнесу необходимо дополнить свой набор политик, как минимум, одной новой — политикой использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запрещать распространение этой информации во всех других ситуациях. Вдобавок, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.
При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.
На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений, для защиты персональных данных . Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.
Обязанностью оператора, согласно статье 19, является также обеспечение безопасности персональных данных при их обработке.Чтобы не было неприятностей, организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, которые она готова предпринять для защиты персональных данных, содержащихся в ее информационных системах.
Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны заранее уведомлять об этом уполномоченный орган (статья 22), который будет вести учет операторов в специальном реестре. Уполномоченным органом, согласно статье 23, является Мининформсвязи России, который в настоящее время осуществляет «функции по контролю и надзору в сфере информационных технологий и связи». В уведомлении необходимо будет подробно изложить, что планируется делать с персональными данными. Любые изменения в отношении обработки персональных данных в обязательном порядке также должны сообщаться в уполномоченный орган.
Разрешается вести обработку персональных данных, не уведомляя уполномоченный орган, в следующих случаях:
- при наличии трудовых отношений;
- при заключении договора, стороной которого является субъект персональных данных;
- если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией;
- если персональные данные являются общедоступными;
- если персональные данные включают в себя только фамилии, имена и отчества субъектов;
- при оформлении пропусков;
- если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- если персональные данные обрабатываются без использования средств автоматизации.
В заключение дадим ряд рекомендаций организациям-операторам. Исполнить требования закона о персональных данных будет не столь уж трудно, если данную работу начать сейчас, не дожидаясь поступления первых заявлений и жалоб. Начать можно со следующих очевидных мер:
Желательно назначить ответственного сотрудника для рассмотрения всех вопросов, связанных с исполнением данного закона в организации, а для крупных компаний может быть оправдано создание специальной комиссии.
Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:
- определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
- уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
- установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
- определить способы обработки;
- определить лиц, имеющих доступ к данным;
- сформулировать юридические последствия;
- определить порядок реагирования на обращения, возможные варианты ответов и действий, оценить реальность соблюдения установленных законом сроков реагирования.
ПДн – персональные данные
ИС – информационная система
ИСПДн – информационная система персональных данных
СКЗИ – средство криптографической защиты информации
УЗ – уровень защищенности
СПО – специальное программное обеспечение
ППО – прикладное программное обеспечение
Защита персональных данных в Российской Федерации: Проблемы и перспективы
Продукты компании С-Терра, сертифицированные регуляторами – ФСБ России и ФСТЭК России, позволяют обеспечить защиту персональных данных в ИСПДн любого уровня защищенности.
Таблица 2. Применение продуктов С-Терра для защиты ПДн разных УЗ
| Область применения | Продукт | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|---|---|
| Криптографическая защита удаленного доступа к ресурсам ИС | C-Терра Шлюз, С-Терра Юнит, С-Терра Виртуальный Шлюз, С-Терра CSCO-STVM, С-Терра Клиент, С-Терра Клиент А |
– | + | + | + |
| Межсетевое экранирование | C-Терра Шлюз, С-Терра Виртуальный Шлюз, С-Терра CSCO-STVM, С-Терра Клиент | + | + | + | + |
| Защита от вторжений | С-Терра СОВ | + | + | + | + |
ЗАДАЧА: Защитить ПДн при их передаче через недоверенную сеть в соответствии с законодательством. Организация состоит из головного офиса и 20 филиалов. Связь филиалов с головным офисом осуществляется через недоверенную сеть — интернет. В головном офисе развернута база данных, содержащая ПДн, к которой необходим доступ из филиалов. В филиалах рабочие места сотрудников оснащены ноутбуками и РС на ОС Windows. В головном офисе требуется резервирование оборудования. Класс защиты СКЗИ – КС2.
Состав продуктов:
| Центральный офис | Региональные филиалы |
|---|---|
| 2 x С-Терра Шлюз 1 x С-Терра СОВ С-Терра КП на 100 VPN-устройств |
20 х С-Терра Шлюз со встроенным С-Терра СОВ |
Решение базируется на продуктах С-Терра Шлюз и С-Терра СОВ в различных форм-факторах. В центральном офисе два шлюза безопасности С-Терра Шлюз объединены в отказоустойчивый VRRP кластер. В архитектуре шлюзов безопасности С-Терра Шлюз используется стандартизированный стек протоколов IKE/IPsec, реализованный в соответствии с ГОСТ алгоритмами шифрования. В актуальной версии С-Терра Шлюз может использоваться для защиты любых сетевых топологий (TCP/IP).
Межсетевой экран интегрирован в С-Терра Шлюз, и по умолчанию С-Терра Шлюз выполняет функции межсетевого экрана с контролем состояния сессий.
С-Терра СОВ в центральном офисе применяется в исполнении на отдельной аппаратной платформе. В региональных филиалах устанавливаются шлюзы безопасности С-Терра Шлюз со встроенным С‑Терра СОВ, что представляет собой одну 1U аппаратную платформу.
В средних и больших сетях не обойтись без системы централизованного управления. С-Терра КП может выполнять функции центра управления сертификатами путем интеграции с сервисом Microsoft CA и криптопровайдером КриптоПро CSP. С помощью системы С-Терра КП процесс замены цифровых сертификатов централизуется и автоматизируется, поддерживаются и групповые операции обновления.
Выберите шрифт Arial Times New Roman
Интервал между буквами (Кернинг): Стандартный Средний Большой
- —Черным по белому
- —Белым по черному
- —Темно-синим по голубому
- —Коричневым по бежевому
- —Зеленым по темно-коричневому
Закрыть панель Вернуть стандартные настройки
Положение о защите персональных данных не актуально что делать
Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Оператора, определенными действующим законодательством Российской Федерации, законодательством Республики Башкортостан и договорными отношениями с клиентами и контрагентами Оператора.
Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется Оператором с письменного согласия субъекта персональных данных. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.
Оператор вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, состояния здоровья, биометрических персональных данных, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.
Персональные данные субъекта могут быть получены Оператором от лица, не являющегося субъектом персональных данных, при условии предоставления Оператору подтверждения наличия оснований, указанных в п. п. 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.
Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Оператора в соответствии с их должностными обязанностями.
Передача персональных данных субъектов персональных данных третьим лицам осуществляется Оператором в соответствии с требованиями действующего законодательства.
Оператор вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее — поручение). Третья сторона, осуществляющая обработку ПДн по поручению Оператора, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, обеспечивая конфиденциальность и безопасность ПДн при их обработке.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании ФЗ-152;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-152;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.
Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:
К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.
При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.
При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).
При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.
И все эти данные, согласно нынешнему законодательству, подлежат защите.
Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.
Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:
- категория обрабатываемых персональных данных;
- объем обрабатываемых персональных данных;
- тип информационной системы;
- структура информационной системы и местоположение ее технических средств;
- режимы обработки персональных данных;
- режимы разграничения прав доступа пользователей;
- наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.
Согласно приказу № 55/86/20, все информационные системы (ИС) делятся на типовые и специальные.
Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:
- информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
- информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:
– цель и задачи в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
– как происходит сбор и хранение персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в том числе от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением под подпись.
Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) — и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:
1. Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:
– цель и задачи в области защиты персональных данных;
– понятие и состав персональных данных;
– в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
– как происходит сбор и хранение персональных данных;
– как они обрабатываются и используются;
– кто (по должностям) в пределах фирмы имеет к ним доступ;
– принципы защиты ПДн, в том числе от несанкционированного доступа;
– права работника в целях обеспечения защиты своих персональных данных;
– ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.
3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
– угрозы утечки информации по техническим каналам;
– угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
– угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?
Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных.
ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.
Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно – ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
| 1. | Уведомление об обработке персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. |
| 2. | Изменения в уведомление об обработке персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. |
| 3. | Приказ Об организации обработки персональных данных. |
| 4. | Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. |
| 5. | Согласие субъекта персональных данных на обработку его персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. |
| 6. | Согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. |
| 7 | Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. |
| 8. | Документы, определяющие политику оператора в отношении обработки персональных данных.
Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. |
| 9. | Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных.
Основание: Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. Проблемы защиты персональных данных в рамках экспериментальных правовых режимовМы, ООО «Виссманн» (далее «Виссманн» или «мы»), являясь частью группы Viessmann (далее по тексту — Viessmann Group), очень серьезно относимся к защите Ваших персональных данных и строго придерживаемся положений действующих законов РФ о защите информации. Viessmann Group – аффилированные с «Viessmann Werke GmbH & Co. KG» предприятия. Персональные данные собираются на наших интернет-сайтах и при использовании наших приложений и сервисов только в необходимом объеме и обрабатываются с определенной целью. Персональные данные – это такие данные, по которым можно идентифицировать Вашу личность, или иные, связанные с Вами данные. Мы, Viessmann Group, большое внимание уделяем защите ваших личных данных и строго придерживаемся соответствующих законодательных положений РФ. Сбор личных данных на наших интернет-сайтах и при пользовании нашими мобильными приложениями производится лишь в технически необходимом объеме. Собранные данные ни в коем случае не продаются и не передаются сторонним лицам по каким-либо другим причинам. Ниже поясняется, как мы обеспечиваем эту защиту, а также сбор каких данных и с какой целью нами производится. Это пояснение распространяется на все интернет-сайты и мобильные приложения, за которые несет ответственность Viessmann Group. Интернет-сайты и мобильные приложения Viessmann Group могут содержать ссылки на сторонние интернет-сайты, на которое данное заявление о защите данных не распространяется. Если вы предоставили нам личные данные, то мы используем их только для ответа на ваши запросы, для выполнения заключенных с вами договоров, технических административных задач, для регистрации в системе и для сервисов, предоставляемых на соответствующих интернет-сайтах или в мобильных приложениях. Пользование предоставленных вами личных данных другими сервисами или для иных целей производится только с вашего согласия. Это согласие вы можете в любой момент аннулировать. Передача ваших личных данных третьим лицам осуществляется только в случае, если это необходимо для выполнения договоров (это касается в основном передачи данных заказа поставщикам), требуется с целью платежных расчетов или заранее разрешено вами. Вы имеете право в любой момент отменить выданное разрешение, после чего данная отмена вступит в силу. Сохраненные личные данные удаляются, если вы отменили ваше разрешение на их сохранение, если они больше не требуются для достижения цели, для которой они сохранялись, или если их сохранение недопустимо по другим законодательным причинам. Если Вы согласились с нашим положением о конфиденциальности и при запросе консультации указали свой телефонный номер, мы свяжемся с Вами по телефону перед передачей Вашего запроса о консультации нашему партнеру, чтобы проверить правильность Ваших сведений, обсудить Ваш объект и направить Вас в соответствующее специализированное предприятие. Для предоставления услуги запроса консультации специалиста или посредничества при передаче запроса специализированному предприятию о консультации или покупке, техническом обслуживании или ремонте систем отопления или иного товара из ассортимента Viessmann мы с Вашего согласия передаем введенные Вами персональные данные внешним специализированным предприятиям, сотрудничающим с нашей компанией в качестве партнера и работающим в Вашем регионе. Такого партнера мы призываем связаться с Вами в течение установленного временного периода , чтобы предоставить Вам запрошенные услуги по консультированию и/или сделать предложение. С этой целью специализированное предприятие выходит на связь по электронной почте и/или телефону. Помимо этого Ваши данные не передаются и не продаются третьим лицам, т.е. лицам или предприятиям, не входящим в состав группы Viessmann. Сохраненные персональные данные удаляются, если Вы отзываете свое согласие на хранение, если данные больше не требуются для выполнения цели, преследуемой при сохранении, или если их хранение недопустимо по другим законным причинам. Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные. По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ. Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу субъекту персональных данных. А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача распространение , обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов например, оформляя бонусные или скидочные карты — в этом случае их называют операторами. Поскольку ни в Трудовом кодексе, ни в ФЗ не установлено какие конкретно данные относятся к персональным — то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора. Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой. Исходя из норм, установленных ч. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным. Работодателю следует помнить, что все персональные данные работника следует получать у него самого п. В некоторых случаях согласие на обработку персональных данных работника соискателя не требуется, если эта информация получена:. Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие. Если цели сбора информации отличаются от тех, что перечислены в п. Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:. Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства — целесообразно оформить такое согласие письменно. Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни. Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных. В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от Следующее — обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем. В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:. Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций. Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе — при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые. Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана. Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. Положение об обработке персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций. Версия для слабовидящих En. Массовые коммуникации Регистрация СМИ Лицензирование Выдача разрешений на распространение продукции зарубежных периодических печатных изданий на территории Российской Федерации Контрольная и надзорная деятельность в сфере СМИ Контрольная и надзорная деятельность в сфере телерадиовещания Контрольная и надзорная деятельность в сфере электронных коммуникаций Общественный совет на Экспертный совет по массовым коммуникациям Реестры Федеральная конкурсная комиссия по телерадиовещанию Деятельность по исполнению Федерального закона от 29 декабря г. Положение о защите персональных данных Общие положения 1. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Обработка персональных данных в Обществе допускается, если она: — осуществляется с согласия субъекта персональных данных; — необходима для исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных; — необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; — необходима для осуществления прав и законных интересов Общества при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Примерно лет тому назад — это везде было. Иначе увольняли или не принимали на работу, не выдавали документов и т. Многие помнят, знают. А всё обернулось очередным обходом исполнения принятого закона, дополнительной чиновничьей волокитой, насилием над свободой многих людей. 152-ФЗ «О защите персональных данных»В мае следующего года вступит в силу новый Закон о защите личных данных. Кто и что может узнать о нас, в том числе и с целью обнародования данных, а какие сведения — исключительно наше личное дело? И почему журналистское сообщество обеспокоено принятием нового закона? На самом деле большая часть правил, которые установит новый Закон о защите данных, действуют уже сейчас. Положение об обработке и защите персональных данных пример. Во время поступления на работу граждане нашей страны предоставляют нанимателям свои личные данные, которые должны быть надежно защищены от присвоения сторонними лицами. Для этого выпускаются специальные нормативные акты и приказы, о которых пойдет речь в данной статье. Для этого руководитель предприятия издает специальный приказ, в котором назначает ответственное за хранение персональных сведений лицо. Указанный сотрудник несет административную ответственность в случае, когда третья сторона получает доступ к персональным данным без ведома и разрешения со стороны самого работника их предоставившего. Можно ли размещать персональные данные сотрудников на сайте? Не секрет, что действующее законодательство стоит на защите прав работников, в том числе, охраняет конфиденциальность их личной информации. О возможности размещения персданных работников в сети расскажем в статье. Люди, заключающие трудовые договоры с организациями и индивидуальными предпринимателями, раскрывают свои персональные сведения. Они требуются, в частности, при составлении трудового договора и исполнения работодателем обязанностей возложенных на него действующим законодательством. Вообще, под персональными данными понимается любая информация, прямо или косвенно относящаяся к определенному работнику ст. Подводя итог, следует отметить, что специальная, равно как и общая категория персональных данных, подлежит обработке исключительно при получении на то согласия носителя информации. Приказ о защите персональных данных необходим для того, чтобы отрегулировать на предприятии правила по работе с личными документами сотрудников. Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. Российским законодательством устанавливается, что вопросы передачи. В том числе данный вопрос имеет большое значение и при осуществлении трудовых взаимоотношений, которое невозможно без эпизодической передачи личных сведений. При этом передача персональных данных третьим лицам без согласия человека, которого касается таковая информация, может подразумевать несение административной, дисциплинарной, гражданской или уголовной ответственности, поэтому знать о принципах проведения такой процедуры должен каждый работодатель, руководитель или сотрудник отдела кадров. Под персональными данными с точки зрения международного и российского законодательства подразумевается любая информация прямо либо косвенно относящаяся к какому-либо конкретному человеку. Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные. По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ. Что конкретно закон понимает под персональными данными? Приказ о защите персональных данных необходим для того, чтобы отрегулировать на предприятии правила по работе с личными документами сотрудников. Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность? Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов. При передаче персональных данных работника работодатель должен соблюдать следующие требования: не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ) не сообщать персональные данные работника в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ) осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ) разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций; не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций. (в ред. Федерального закона от 30.06.2006 N 90-ФЗ) В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на: полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персональных данных; доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения; (в ред. Федерального закона от 30.06.2006 N 90-ФЗ) требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных. Согласно закону РФ, руководитель компании должен утвердить порядок использования личных сведений. Необходимые нормы указываются в локальном документе организации о защите данных. Они должны соответствовать требованиям правовых актов РФ и 152-ФЗ. Оператор личных данных — это правительственный, муниципальный орган или физическое, юридическое лицо, которое организует осуществление обработки личной информации и определяет цели их использования. В обязанности оператора входит: 1. При сборе личных сведений, оператор предоставляет по просьбе гражданина информацию о том, чьи данные он получил, информацию, которая предусмотрена ст. 14 ч.7 152-ФЗ. 2. Если гражданин обязан предоставить свои сведения по закону РФ, оператор должен объяснить ему, что в случае отказа, можно столкнуться с юридическими последствиями. 3. Если полученная оператором для обработки личная информация не была предоставлена ее владельцем, он обязан предоставить ему следующую информацию:
Поскольку законодательные акты зачастую претерпевают корректировки, в 152-ФЗ также были внесены изменения. По причине вступления в силу Федерального закона от 03.07.2016 № 230-ФЗ претерпели изменения условия анализа личной информации, описанные в Федеральном Законе 152. Статья 3 В 3 статье закона описываются основные понятия, которые используются в акте: персональные данные, оператор, обработка персональных сведений, а также распространение и предоставление личных сведений. В последней редакции представленная статья не претерпела изменений. Статья 5 В 5 статье федерального закона описаны принципы анализа информации. Отмечается, что обработка сведений осуществляется только по закону и объединение базы данных с личной информацией граждан запрещена. В последнем редактировании текущая статья не подвергалась изменениям. Статья 7 В 7 ст. 152-ФЗ сказано, что операторы и другие ответственные лица, получившие доступ к личным данным, обязаны не распространять информацию, не получив согласие владельца. Изменений статья не претерпела. Статья 9 В 9 ст. 152-ФЗ указана информация о согласии субъекта на обработку его личных данных. Представлены сведения о том, как составить письменное согласие. При последней редакции, изменений в текущей статье не было. Статья 19 19 статья 152 Федерального Закона указывает меры для обеспечения безопасности личной информации при ее анализе. Различают организационные, технологические и методические документы. Организационные фиксируют задачи, функции и ответственность служб, отвечающих за защиту персональных данных работников. К ним относятся положения, должностные инструкции, акты, приказы, уведомления, письма. Технологические инструктивные документы по защите персональных данных в организации отражают систему защиты конфиденциальных сведений о работниках. К ним относят: перечни, инструкции по обработке и защите ПДн. Методические документы детализируют процессы защиты персональных данных работников, устанавливают порядок работы с документами, содержащими конфиденциальную информацию о сотрудниках, в типовых ситуациях. К ним относят правила работы с персональными данными. Комплект документов по защите персональных данных утверждает руководитель организации. На каждом бланке ставятся визы согласования с заинтересованными лицами. С некоторыми документами субъекты персональных данных должны ознакомиться под роспись. С этим шаблоном часто используют:
Популярные документы и процедуры:
ООО «Зетта Страхование» осуществляет обработку персональных данных с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в целях:
Предоставляемые Вами персональные данные должны быть достоверными и полными, при необходимости документально подтвержденными. ООО «Зетта Страхование» не несет ответственности за убытки/затраты, понесенные в результате предоставления Вами недостоверных и неполных персональных данных. В случае изменения Ваших персональных данных необходимо незамедлительно сообщать в ООО «Зетта Страхование». Похожие записи:
|