Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Алгоритм работы с персональными данными персональных банков данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Содержание:
Чтобы исполнить требования закона нужно организовать правильную процедуру получения, хранения и передачи персональных данных работников. Узнать персональную информацию можно только от самого сотрудника. Если персональные сведения по какой-либо причине нужно запросить у третьих лиц, то нужно получить согласие сотрудника в письменном виде. Получая согласие, нужно известить сотрудника (п. 3 ч. 1 ст. 86 ТК РФ):
- о целях получения информации;
- источниках данных;
- характере сведений;
- способах получения;
- последствиях отказа от дачи согласия на их получение.
Все это нужно прописать в Положении о работе с персональными данными работников (образец 2019 для ИП тот же, что и у предприятий). Получив в свое распоряжение персональные сведения работников, их нельзя распространять и раскрывать третьим лицам без согласия самого сотрудника (ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ).
Образец Положения о работе с персональными данными работников 2019
С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.
За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.
Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).
Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.
С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.
То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.
Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.
Практическая ситуация
В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?
Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных. Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.
То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.
Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):
- на граждан — от 500 до 1 000 руб.;
- на должностных лиц — от 4 000 до 5 000 руб.
С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.
Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.
Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):
- штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
- либо обязательными работами на срок от 120 до 180 часов;
- либо исправительными работами на срок до одного года;
- либо арестом на срок до четырех месяцев.
Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):
- штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
- либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
- либо арестом на срок от четырех до шести месяцев.
Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:
- от всех ли работников получено согласие на обработку персональных данных;
- ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
- должным ли образом осуществляется хранение и защита персональных данных;
- соответствует ли документация об их обработке требованиям законодательства и т.д.
- Что обязан проверить бухгалтер организации при работе с самозанятыми
- Знаковые решения КС РФ и ВС РФ по вопросам трудового законодательства. Обзор
- Должная осмотрительность: алгоритм действий
- Уголовная ответственность бухгалтера: ужесточение контроля и практика
- Налоговые последствия неграмотных договоров
- 5 шагов по организации учета и хранения персональных данных
Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников. Такое согласие должно включать в себя следующую информацию (части 4 статьи 9 Закона от 27 июля 2006 г. № 152-ФЗ):
- ФИО, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
- наименование или ФИО и адрес работодателя (оператора), получающего согласие сотрудника;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
- срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись работника.
Субъект персональных данных (то есть, физическое лицо, кому принадлежат эти данные) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст. 14 Закона от 27 июля 2006 г. № 152-ФЗ):
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
С 1 июля 2017 года невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, является самостоятельным административным нарушением. Оно влечет предупреждение или наложение административных штрафов:
на граждан – от 1000 до 2000 руб.; |
---|
на должностных лиц (например,директора, кадровика или бухгалтера) — от 4000 до 6000 руб.; |
на индивидуальных предпринимателей – 10 000 до 15 000 руб.; |
на юридических лиц (организаций) – от 20 000 до 40 000 руб. |
Статья 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.
С 1 июля 2017 года введен новый вид административного нарушения – невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки). Такие действия с 1 июля 2017 года влекут т предупреждение или наложение административных штрафов:
на граждан — от 1000 до 2000 руб.; |
на должностных лиц (например, директора, кадровика или главбуха) — от 4000 до 10 000 рублей; |
на ИП — от 10 000 до 20 000 рублей; |
на юридических лиц – 25 000 до 45 000 руб. |
В исключительных случаях, предусмотренных законодательством, государственные и муниципальные органы должны обезличивать персональные данные, которые обрабатывают в своих информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (подп. «з» п. 1 перечня, утвержденного постановлением Правительства РФ от 21 марта 2012 г. № 211). К таким случаям относится, например, необходимость государственных и муниципальных органов размещать в открытом доступе документы, содержащие персональные данные, допустим, обезличенные копии судебных актов (п. 3 ст. 15 Закона от 22 декабря 2008 г. № 262-ФЗ).
Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст. 3 Закона от 27 июля 2006 г. № 152-ФЗ).
До 1 июля 2017 года возбуждать дела по административным делам, связанным с персональными данными, по статье 13.11 КоАП РФ был вправе исключительно прокурор. Это предусмотрено частью 1 ст. 28.4 КоАП РФ. С 1 июля 2017 года участие прокурора будет необязательным. С указанной даты дела по статье 13.11 КоАП будут вправе возбуждать должностные лица Роскомнадзора. Такая поправка внесена комментируемым законом в пункт 58 части 2 статьи 28.3 КоАП РФ. Следовательно, процедура привлечения к ответственности по делам о персональных данных становится проще.
Персональные данные: что грозит за нарушение закона
Государство регулирует сферу персональных данных посредством целого ряда нормативных актов. Основу составляет Конституция РФ, базис — ФЗ № 152 от 27.01.2006 г. Закон разъясняет, что такое персональные данные, что к ним относится. Этот термин означает сведения, напрямую или косвенно характеризующие субъекта ПД — физическое лицо. Говоря простым языком, по ним можно точно определить, что речь идет о конкретном человеке.
Общие персональные данные — это основная информация о человеке. К ним относят:
Обработка персональных данных в организацииЦель обработки ПД в организации — оформление трудовых отношений с работником. Без подписанного согласия на обработку ПД работодатель не имеет права заключать трудовой договор. Подробнее читайте в этой статье
- ФИО;
- место прописки и проживания;
- паспортные данные;
- образование;
- ИНН;
- контактные данные;
- сведения о работе;
- размер доходов и т. д.
Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.
Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.
Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.
Все вопросы, касающиеся любых действий с персональной информацией регулирует
В первую очередь, закон направлен на создание правовой базы для обращения с персональными данными людей. Он обеспечивает реализацию конституционных прав человека, соблюдение неприкосновенности личной жизни и сохранение тайн личности и семьи.
Любая информация, касающаяся гражданина, является персональными данными.
- Ф. И. О. человека.
- Дата и место его рождения.
- Адрес.
- Социальное, семейное и финансовое положение.
- Информация о профессии и образовании.
- Другая информация.
Специальные. Это сведения о принадлежности к нации и расе, информация, касающаяся взглядов на политику и религию, данные о здоровье и интимной жизни человека.Биометрические. Информация об особенностях физиологии необходимая для установки личности гражданина.Общедоступные. Сведения доступные широкому кругу лиц, содержащиеся в специализированных справочниках.Иные сведения. Включают в себя все не вошедшие в другие разделы данные.
Под действие закона попадают все физические и юридические лица занимающиеся обработкой личной информации. Это компании, работающие в сфере финансов, медицины, рекламы, гостиничного бизнеса, образования и все бюджетные организации. Их называют операторами персональных данных.
Контроль за соблюдением закона в отношении этих компаний осуществляет Роскомнадзор.
Согласно закону, компании-операторы должны соблюдать конфиденциальность персональной информации. Открытие таких сведений третьим лицам и их распространение без письменного разрешения субъекта ПД запрещено.
Отзыв согласия на обработку личных данных может потребоваться в тех случаях, когда возможна передача их третьим лицам. Подобные ситуации могут возникнуть если гражданин по каким-либо причинам не хочет, чтобы сведения о нем использовались в рекламе компании или упоминались на сайте. При увольнении сотрудник компании также может отозвать разрешение на обработку личной информации. Но чаще всего его используют, когда клиент организации желает отказаться от возможных СМС рассылок и получения писем с рекламной информацией по электронной почте.
И самая острая ситуация, когда отзыв согласия может напрямую повлиять на безопасность клиента —
Понятие и виды персональных данных
Существуют определённые законом ситуации, когда компания может продолжить работу с данными о клиенте несмотря на отзыв согласия на их обработку.
Происходит это если:
- Персональные данные важны для достижения международных договоренностей.
- Если заявитель задействован в исполнительном или судебном производстве.
- Если субъектом оказываются государственные услуги, а персональная информация размещена на портале государственных и муниципальных услуг.
- Если личные сведения важны для защиты интересов субъекта.
- Если субъект выступает в роли одной из сторон при заключении договора.
- Если в отношении гражданина ведется процедура возврата просроченной задолженности.
- Если владелец персональных данных осуществляет профессиональную деятельность в сфере творчества, является журналистом или автором.
- Если информация обезличена и используется в исследовательских целях.
- Если сведения опубликованы непосредственно их владельцем.
Последствия отказа от обработки персональной информации могут быть довольно серьезными. Без разрешения на обработку информации большинство организаций вправе будут отказать в оказании услуг в полном соответствии с законом. Гражданину, оформившему отказ, кредитная организация может отказать в выдаче ссуды, поликлиники и больницы откажут в помощи, а образовательные учреждения могут не допустить к экзаменам и отказать в выдаче документов о завершении обучения.
Оказание государственных услуг также невозможно при отсутствии такого согласия.
Организация-оператор, в которую поступил отказ на обработку персональных данных от гражданина, должна удалить всю переданную клиентом информацию.
Например, при оформлении банком кредита персональная информация содержит:
- Ф. И. О. гражданина, его паспортные данные.
- Сведения о финансовом положении и имуществом, которым владеет заявитель.
- Контактная информация гражданина, а также его близких.
- Сведения о профессии и месте работы и др.
Все эти сведения должны быть уничтожены после получения соответствующего заявления.
В заявлении должна быть указана следующая информация:
- Полное название организации, выполняющей функции оператора.
- Юридический и физический адреса.
- Фамилию, имя и отчество гражданина, а также его адрес.
- Телефон гражданина.
- Ссылку на закон «О персональных данных».
- Перечень запрещаемых оператору действий.
- Перечисление подлежащих удалению сведений.
- Требование письменно уведомить о принятом оператором решении.
- При необходимости укажите возможность обращения в Роскомнадзор.
- Составьте заявление в двух экземплярах.
- Сделайте копию паспорта и документов, подтверждающих отсутствие задолженностей и обязательств в случае, если оператором является кредитная организация или работодатель.
- Посетите организацию-оператора и получите печати и подписи на бланках.
- В случае отказа обратитесь в отделение Роскомнадзора.
- Отправьте отзыв согласия почтой, использую заказное письмо с обязательным уведомлением о вручении.
- Заполненный бланк заявления в 2 экземплярах.
- Копия паспорта гражданина.
- Документы, подтверждающие отсутствие обязательств перед оператором.
Особенности работы с персональными данными в кадровом агентстве
Рассматриваемый документ содержит локальные нормы, определяющие:
- цели и задачи фирмы при работе с персональными данными;
- перечни фактических и потенциально задействуемых в бизнес-процессах компании персональных данных;
- описание операций с данными, практикуемых компанией;
- способы доступа к данным, используемые в фирме;
- обязанности сотрудников фирмы, задействующих при выполнении трудовой функции те или иные данные;
- права сотрудников фирмы на приобретение санкционированного доступа к данным;
- правовые механизмы ответственности работников фирмы за нарушения при операциях с данными.
Исходя из отмеченного перечня норм, положение об обработке персональных данных работников может быть представлено следующими ключевыми разделами:
- устанавливающим общие положения документа;
- фиксирующим критерии выделения персональных данных из массива информации, задействуемой в документообороте и на иных участках внутрикорпоративных коммуникаций;
- определяющим перечень ключевых операций с персональными данными;
- регламентирующим осуществление соответствующих операций;
- определяющим порядок доступа работников фирмы и иных лиц к данным;
- устанавливающим обязанности сотрудников, участвующих в операциях с данными;
- устанавливающим права сотрудников компании в части получения доступа к таким данным и осуществления необходимых операций с ними;
- определяющим механизмы ответственности сотрудников фирмы за нарушения локальных норм и положений законодательства РФ, регламентирующих операции с персональными данными.
Положение о внутрикорпоративных операциях с персональными данными должен заверить руководитель фирмы. С копией этого документа обязаны ознакомиться все сотрудники под расписку (подп. 6 п. 1 ст. 18.1 закона № 152-ФЗ).
Каждая фирма, имеющая статус оператора персональных данных (таковыми являются все работодатели), обязана утвердить локальный правовой акт, который регламентирует операции с подобными данными. Чаще всего таким локальным актом становится положение, утверждаемое генеральным директором фирмы.
Ознакомиться с прочими аспектами кадрового документооборота вы можете в статьях:
- «Воинский учет в организации — пошаговая инструкция»;
- «Какой срок хранения документов в архиве организации?».
- Федеральный закон от 27.07.2006 № 152-ФЗ
- Трудовой кодекс РФ
В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.
За нарушение закона штрафуют. С 1 июля штрафы увеличатся до 75 тысяч рублей, а у Роскомнадзора будет побольше полномочий.
Если в ней человек может ввести свои персональные данные — то да, попадает.
В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. Минкомсвязи считает, что сбор — это какая-то документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение.
Сама по себе форма обратной связи не попадает под действие закона только потому, что она есть. Важно, какие данные передает посетитель через эту форму, можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.
Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.
Нет, столб оштрафовать нельзя. Юридическим лицом он тоже не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не попадают под действие закона.
Геннадий сам сделал свои данные общедоступными, чтобы купить рога оленя. А те, кто позвонит ему по поводу покупки рогов, используют телефон в личных целях.
Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рассылки рекламы.
Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.
Положение о персональных данных работников — образец 2020 года
Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.
Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
- информирование субъектов об обработке их ПДн, что включает в себя указание на защиту ПДн в соответствии с Privacy Shield в политике компании по защите личных данных (Privacy Policy), уведомление субъектов ПДн об их правах и напоминание об обязанностях самой компании в случае получения законного запроса на предоставление ПДн со стороны государственных органов;
- предоставление бесплатного и доступного инструмента для разрешения споров, что означает обязанность компании в течение 45 дней ответить на жалобы субъекта, предоставить бесплатный правовой механизм оперативной обработки обращений субъектов, участвовать в процедурах рассмотрения жалоб, поступивших от европейских Data Protection Authorities (регуляторов по вопросам защиты данных);
- взаимодействие с Министерством торговли США в части предоставления ответов на запросы, касающихся соблюдения норм Privacy Shield;
- поддержание целостности данных и ограничений на их использование путем лимитирования объема обрабатываемых ПДн до релевантного целям обработки, а также путем соответствия принципам ограничения сроков хранения ПДн;
- обеспечение ответственности за передачу ПДн третьим лицам, что подразумевает:
- в случае третьего лица, выступающего в роли оператора, — соответствие принципам уведомления субъектов и их осознанного согласия (т.н. Notice and Choice Principles), внесение в договор с третьим лицом пунктов об обеспечении им защиты передаваемых ему ПДн (что означает ограничение на использование ПДн, обеспечение адекватного уровня защиты ПДн, уведомление в случае нарушения данных требований);
- в случае третьего лица, выступающего в роли агента, т.е. обработчика, — выполнение требований по передаче ему ПДн только для достижения ограниченных и конкретных целей по защите ПДн на уровне не ниже, чем это осуществляется оператором, по проверке выполнения обработчиком данных требований, по необходимости — уведомления обработчиком оператора в случае невозможности выполнения требований и по прекращению обработки ПДн обработчиком в случае выявленных нарушений;
- открытая публикация отчетов Федеральной торговой комиссии США по оценке и соответствию компании нормам Privacy Shield;
- соблюдение норм защиты полученных компанией ПДн даже в том случае, если она принимает решение выйти из соглашения Privacy Shield.
- Как мы видим, требования, предъявляемые в рамках Privacy Shield, гармонизированы с европейскими нормами защиты ПДн, а также в определенной степени напоминают принципы, задекларированные в отечественном 152-ФЗ.
- Сейчас
- Вчера
- Неделя
- Сутки
- Неделя
- Месяц
«Кристофари» (Christofari) — единственный российский суперкомпьютер, созданный специально для работы с алгоритмами искусственного интеллекта. Его мощности позволяют обучать программные модели, основанные на сложных нейронных сетях, в рекордно короткие сроки. Он предназначен для научно-исследовательских, коммерческих и государственных организаций, работающих в различных отраслях экономики — нефтегазовой, электроэнергетике, тяжелой промышленности, медицине, телекоммуникациях, ритейле и финансовом секторе.
Суперкомпьютер, созданный специалистами Сбербанка и SberCloud, имеет производительность около 6,7 петафлопса. Он состоит из кластеров Nvidia. Система Nvidia DGX-2 является самой производительной в мире для сложнейших задач искусственного интеллекта и высокопроизводительных вычислений, отмечают в компаниях. Специализированные вычислители для ускорения новых типов нейронных сетей в сочетании с масштабируемой архитектурой позволяют эффективно работать с большими и сложными моделями, причем скорость обучения нейросетей возрастает кратно.
SberCloud (ООО «Облачные технологии») — облачная платформа группы Сбербанк, предоставляющая услуги на базе IT-архитектуры крупнейшего банка России, СНГ и Восточной Европы.
Использование рассматриваемых сведений необходимо для:
- Ведения документов в отделе кадров.
- Заключения договоров и выполнения других юридических действий.
- В связи с выполнением требований налогового законодательства.
- Других целей аналогичного рода.
При этом надо заметить, что:
- в каждом таком случае получение информации определяется нормативными актами;
- оно осуществляется в определённом составе, объёме, на конкретный срок и только для выполнения заявленных целей.
В настоящее время используются методы обезличивания персональных данных, рекомендуемые Роскомнадзором. Эта госструктура контролирует и координирует деятельность операторов. Ключевой нормативный документ, закрепляющий основные методы по обезличиванию персональных данных, — Приказ № 996, утвержденный Роскомнадзором в 2013 г. Для эффективной их реализации составлены специальные Методические рекомендации.
При обезличивании персональных данных этим способом можно получить информацию, обладающую следующими свойствами:
- Полнотой. Это значит, что сведения, посредством которых можно идентифицировать субъектов, не удаляются, а заносятся в таблицу соответствия.
- Структурированностью. У каждого идентификатора после процедуры обработки (обезличивания) персональных данных есть соответствующий набор сведений.
- Семантической целостностью. Это означает, что вид представления информации остается неизменным. Сведения только переносятся в таблицу.
При определенном порядке выбора идентификатора и данных, заменяемых им, можно также обеспечить анонимность информации. Обезличивание персональных данных этим способом создается угроза атак на справочники. При этом увеличение массива информации не повышает устойчивость метода.
Обезличивание персональных данных посредством замены их специальными кодами позволяет сохранить связи между атрибутами полученных сведений и личной информации.
Введение идентификаторов целесообразно при небольшом числе элементов и незначительном объеме массива. Дело в том, что от этого будет зависеть размер справочников.
При частых корректировках эффективность метода снижается.
При выделении компонентов персональных данных следует принять во внимание возможность обезличивания с их использованием. В случае простого изменения значений корректируется только состав информации. В таких условиях может не произойти обезличивание.
Корректировка семантики и состава целесообразна тогда, когда для этого есть возможность, а для выполнения поставленных перед оператором задач не требуется деобезличивание. Это обуславливается тем, что этот процесс необратим. Для деобезличивания в таких случаях необходимо использовать дополнительные данные.
Корректировку семантики и состава информации целесообразна также при автономном применении обезличенных сведений, когда совместимость с данными иных операторов не нужна.
Как выше говорилось, этот способ предполагает разделение массива атрибутов информации на несколько подмножеств. При этом составляются таблицы, устанавливающие связи между ними. Записи впоследствии хранятся отдельно в соответствии с подмножествами.
При применении декомпозиции можно получить данные, обладающие:
- Полнотой. В данном случае она обеспечивается путем перенесения сведений в другое хранилище.
- Структурированностью. Между записями, находящимися в разных хранилищах, сохраняется связь. Это позволяет однозначно сопоставить данные.
- Семантической целостностью. Вид представления сведений и их семантика остаются неизменными.
Анонимность информации можно обеспечить исключительно при наличии между хранилищами сложных связей и защите их от несанкционированного доступа. Дело в том, что метод декомпозиции не устойчив к атакам к косвенному деобезличиванию и деобезличиванию посредством анализа сведений из разных хранилищ.
Этот метод реализуется посредством перестановки отдельных значений элементов данных или их групп между собой. При перемешивании можно получить сведения, обладающие:
- Полнотой, поскольку сохраняется вся информация о носителях данных.
- Структурированностью. Она обеспечивается за счет того, что связи между сведениями при деобезличивании полностью восстанавливаются.
- Семантической целостностью.
- Релевантностью.
- Применимостью.
Перемешивание, однако, не обеспечивает сохранения связей между атрибутами обезличенных и персональных данных.
Этот способ целесообразен при большом количестве элементов сведений, большом массиве информации. Обуславливается это увеличением устойчивости метода к атакам при увеличении указанных параметров. При этом объем дополнительных данных мало зависит от объема информации.
Перемешивание очень эффективно при сложной обработке, частых изменениях значений атрибутов.
8.1. Сроки обработки (хранения) Данных определяются исходя из целей обработки Данных, в соответствии со сроком действия договора с субъектом Данных, требованиями федеральных законов, требованиями операторов Данных, по поручению которых Компания осуществляет обработку Данных, основными правилами работы архивов организаций, сроками исковой давности.
8.2. Данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение Данных после прекращения их обработки допускается только после их обезличивания.
9.1. Лица, чьи Данные обрабатываются Компанией, могут получить разъяснения по вопросам обработки своих Данных, обратившись лично в Компанию или направив соответствующий письменный запрос по адресу местонахождения Компании: 117461, РФ, город Москва, ул. Каховка, 30, пом.I, ком.13.
9.2. В случае направления официального запроса в Компанию в тексте запроса необходимо указать:
• фамилию, имя, отчество субъекта Данных или его представителя;
• номер основного документа, удостоверяющего личность субъекта Данных или его
• представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие наличие у субъекта Данных отношений с Компанией;
• информацию для обратной связи с целью направления Компанией ответа на запрос;
• подпись субъекта Данных (или его представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Положение об обработке персональных данных работников
Если есть задолженность по кредиту Не каждый заемщик в состоянии погасить вовремя и в полном объеме кредитные обязательства, и тогда появляется огромный риск того, что дело будет передано коллекторам. В этом случае следует внимательно перечитать договор.
Внимание Понятное дело, что банк не вправе разглашать полученную персональную информацию своих клиентов, однако наверняка прописано в договоре, что на протяжении его действия он может ее обрабатывать.
Оформить отзыв своего согласия в такой ситуации не получится, однако есть другой выход.
Заемщик вправе обратиться в финансовое учреждение с просьбой о запрете передавать его персональную информацию коллекторам.
При составлении прошения о запрете можно воспользоваться бланком отзыва согласия на обработку персональных данных, слегка подкорректировав его.
Возможность оформления отказа от обработки персональных данных Даже если Вы предоставили предприятию или учреждению сведения о себе, можно в любое время направить предприятию уведомление, в котором Вы сообщаете о своем нежелании того, чтобы предприятие продолжало их обработку. При получении такого отказа сотрудники предприятия должны уничтожить все сведения о работнике, а также прекратить их всякую систематизацию, хранение или сбор.
Предоставление согласия является делом сугубо добровольным, поэтому нельзя дискриминировать человека, который отказался предоставить такое согласие. Правда существуют законодательно определенные ситуации, когда без подобного согласия не получится предоставить человеку определенные услуги.
Допустим, взять на работу без такого согласия Вас не смогут. Дело в том, что в процесс приема на работу потребуется оформить личную карточку, трудовой договор.
Незаконная обработка приватных данных или обработка не соответствующая законным целям Возможно предупреждение или денежное взыскание: гражданам от 1 до 3 тыс. р.; сотрудникам от 5 до 10 тыс. р.; юрлицам от 30 до 50 тыс. р.; Обработка без согласия или с нарушениями Административные санкции: гражданам от 1 до 3 тыс.р.; сотрудникам от 10 до 20 тыс. р.; юрлицам от 15 до 75 тыс. р.
; Нарушения в опубликовании приватных материалов Возможно предупреждение или денежное взыскание: гражданам от 700 до 1 тыс. р.; сотрудникам от 3 до 6 тыс. р.; юрлицам от 15 до 30 тыс. р.; Оператор не предоставил лицу информацию, связанную с обработкой его персональных материалов Возможно предупреждение или штраф: гражданам 1-2 тыс. р.; сотрудникам 4-6 тыс. р.; ИП 10-15 тыс. р.
; юрлицам 20-40 тыс.
Неразглашение персональных данных Все чаще на крупных предприятиях и в госучреждениях России практикуют подписание обязательства о неразглашении персональных данных штата работников. Многие из этих предприятий беспокоятся о сохранности коммерческих тайн, о которых знают служащие, многие просто подражают европейской практике.
Передача приватных сведений третьим лицам является преступлением и карается законом в соответствии с ФЗ-152, Уголовным кодексом и другими нормативно-правовыми актами. Что такое обязательство о неразглашении персональных данных работника? Обязательство о неразглашении персональных данных работника – это официальный документ, письменная договоренность между руководством и подчиненным, в которой сотрудник организации берет на себя ответственность работать со сведениями о штате своего предприятия согласно законодательству РФ, и обязуется не передавать их третьим лицам.