Новые правила обработки и распространения персональных данных с 1 марта 2021 года

Алан-э-Дейл       25.04.2022 г.

Оглавление

Судебная практика по 152-ФЗ

Принятие законопроекта и его глобальная поправка вызвали массу судебных отзывов.

Первая жалоба была отправлена в Конституционный Суд Российской Федерации. Истец заявлял, что ФЗ-152 противоречит основному принципу Конституции РФ, то есть праву на частную жизнь. Суть иска заключалась в том, что исполнительные органы будут иметь доступ к личным сведениям без разрешения их владельца. И по приказу им будет доставлены сведения. Однако на заявление истца суд ответил отказом, так как посчитал, что персональные данные не подходят под определение «Частная жизнь», ведь субъект сознательно делится ими с оператором.

Следующее судебное разбирательство было связано с размещением личных данных гражданина в региональной газете. Редакция позволила себе упомянуть на своих страницах частную информацию об истце без его согласия. В ответ на этот текст гражданин отправил иск в Верховный Суд Российской Федерации с требованием закрыть печатное СМИ. В результате слушания суд решил в принудительном порядке закрыть газету.

Изменения и комментарии к закону

Первое краткое дополнение к законопроекту было добавлено в 2009 году вместе с принятием ФЗ под номером 363. Это изменение повлияло на цифровую систему обработки. Все операторы с 2010 г. должны были перейти на единую программу хранения и использования частной информации.

Новое изменение вступило в силу в июле 2011 года. Эта поправка концентрировалась на поправке многих положений закона. Уточнялись условия попадания информации, пояснялись нормы, касающиеся передачи сведений, расширялся регламент принципов

Также большое внимание уделялось соблюдению правил безопасного применения и хранения данных, ужесточились наказания за несоблюдение норм, прописанных в постановлении

Последнее на данный момент изменение в ФЗ-152 было утверждено в феврале 2017 года. Это дополнение перенесло нарушение условий законопроекта в разряд административных преступлений. С момента внесения поправки недобросовестные операторы начали караться рублем. Штраф за несоответствие ФЗ-152 начал составлять сумму от 40 000 до 75 000 рублей, в зависимости от категории нарушения.

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Закон о персональных данных 152 ФЗ: как не нарушить

Незнание законов не освобождает от ответственности. Поэтому, чтобы организации, признанной оператором, не нарушить законопроект, следует защитить себя всеми возможными способами:

Согласие субъекта на обработку должно быть письменное. Так компании легче будет доказать добровольность разрешения на использование частных сведений.
Не просить лишние данные

Информация должна соответствовать конкретной цели.
При любом вопросе пользователя сообщать, как и зачем используются его личные сведения.
Сразу же избавляться от ненужных ПДн.
Уделить внимание безопасности базы данных.
Быть зарегистрированным в реестре Роскомнадзора.
Несовершеннолетний гражданин не может быть самостоятельным субъектом.

Если организация обрабатывает ПДн своих подчиненных, подавать заявление необязательно.

Чем регулируется

Федеральное законодательство:

  • «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
  • 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
  • «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
    Особенно интересны цитаты:
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
  • Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
  • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.

Основные документы регуляторов:

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
  • «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 “Об утверждении требований и методов по обезличиванию персональных данных”» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.

25.rsoc.ru

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. 

Когда уведомление Роскомнадзора не требуется

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е

работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

  • технологии обнаружения несанкционированного доступа,
  • поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
  • элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,

К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.

Для анализа фактического состояния дел можно обратиться к «ГОСТ Р 50922-2006. Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения» (утв. и введен в действие Приказом Ростехрегулирования от 27.12.2006 N 373-ст), который содержит принципы обеспечения сохранности данных.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:

  • Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
  • Если личная информация используется в судопроизводстве.
  • Если ПДн использует исполнительная ветвь власти РФ.
  • Обработка на портале Госуслуги.
  • При заключении договора о приобретении товара или услуги.
  • Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
  • В художественном произведении при условии ненарушения прав субъекта.
  • В журналистских расследованиях и научных работах.
  • Если личные сведения раскрыты в соответствии с Федеральным Законом.

Мифы о 152-ФЗ

Из-за того, что Федеральный закон «О Персональных данных» все еще размыт в своих определениях, возникли заблуждения, которые с постановлением не имеют ничего общего.

Первый миф. Если клиентская база данных находится в облачном хранилище, то согласно условиям ФЗ-152 ответственность перейдет на компанию, которая это хранилище обслуживает.

Нет, оператором по-прежнему остается организация, поместившая сведения в «облако». Дело в том, что интернет-хранилища — это накопители данных. У компании-владельца «облака» нет права использовать файлы своих клиентов. Поэтому хранилище отвечает за персональные данные. Это все равно, что надеяться на флеш-карту.

Второй миф. Если организация использует последнюю версию антивируса на своем ресурсе, это считается соблюдением ФЗ-152 2006 г.

Нет. Главное содержание законопроекта в том, чтобы защищать исключительно персональные данные физических лиц, а так как базы данных не хранятся на публичных сайтах, то и использование антивируса не считается защитой частных сведений. Хорошо, когда компании с ответственностью подходят к своей безопасности, но лучше доверить защиту личной информации профессионалам.

Юристы убеждены, что Федеральный закон «О Персональных данных» ждет еще не одна поправка. Но несмотря на это ФЗ-152 уже на протяжении 13 лет практикуется в нашей исполнительной системе. Каждый год по причине несоответствия закону закрываются новые сайты, а их владельцам выписывают штрафы.

Государственный контроль и надзор за обработкой персональных данных

В ее функции входит:

  • запросы на предоставление личной информации для выполнения своих полномочий;
  • проверка полученной от источников информации;
  • выставление требований к операторам об уничтожении личных сведений;
  • принятие необходимых действий для прекращения обработки частных данных, если процесс не соответствует закону;
  • подача в суд на организации, нарушающие ФЗ-152.

Помимо функций, связанных с поддержанием федерального постановления, Роскомнадзор участвует в улучшении, а также уточнении ФЗ-152. Происходит это путем выдвижения на рассмотрение законодательных инициатив. Хотя, по сути, Роскомнадзор все еще остается исключительно исполнительным органом власти.

Выполнение требований 152-ФЗ в банковской сфере

Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».

Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.

Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.

Что включает понятие персональные данные

В связи с тем, что Закона о персональных данных понятие имеет очень обобщенный характер, а законодательство об использовании персональных данных ужесточается, вопрос о том, что такое персональные данные, становится еще более актуальными.

Исходя из статьи 3 Закона о персональных к персональным данным можно отности следующую информацию:

  • фамилия, имя, отчество;
  • пол, возраст;
  • дата и место рождения;
  • паспортные данные;
  • адрес регистрации по месту жительства и адрес фактического проживания;
  • (домашний, мобильный);
  • данные документов об образовании, , профессиональной подготовке, сведения о повышении квалификации;
  • семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и законодательством;
  • отношение к воинской обязанности;
  • сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
  • ;
  • ;
  • информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Ромашка»;
  • сведения о в ООО «Ромашка»;
  • сведения о деловых и иных личных качествах, носящих оценочный характер.

Статья 3 Закона о персональных данных порождает больше вопросов, чем дает ответы на них, к примеру:

  • Какое сочетание указанной выше информации дает основание считать ее персональными данными?

  • Каков минимальный объем информации позволяет считать ее персональными данными?

  • Является ли фамилия (без указания имени и отчества) персональными данными?

  • Является ли адрес электронной почты персональными данными?

Каков минимальный объем информации позволяет считать ее персональными данными?

Начнем с простого вопроса: является ли сочетание фамилия + имя + отчество персональными данными?

Судебная практика отвечает на этот вопрос так: «..

Ссылка ответчика на то обстоятельство, что фамилия, имя и отчество не являются персональными данными, не может быть принята во внимание, как противоречащая действующему законодательству, так как, исходя из положений п. 1 ст

3 ФЗ «О персональных данных» от 27 июля 2006 г. N 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) …» (Апелляционное определение Московского городского суда от 06.09.2012 по делу № 11-17136). Подобный вывод содержит также Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015.

Вывод: сочетание имя + отчество не являются персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных», т.к. не позволяют идентифицировать лицо. Эти данные будут подлежать защите как персональные данные, только если они сами по себе помогают идентифицировать конкретное лицо.

Вопрос посложнее: является ли сочетание фамилия + инициалы персональными данными?

Управление Роскомнадзора по Республике Карелия в своем Обзоре обращений граждан за II квартал 2012 года отвечает на этот вопрос так: «… Фамилия и инициалы гражданина — это, несомненно, персональные данные субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. ФИО (фамилия, имя, отчество) наряду со многими другими способами используются для идентификации отдельного человека среди других. По своей природе это составной ключ, идентификатор, основанный на комбинациях трех параметров фамилии, имени и отчества, на самом деле не идентифицирующий человека однозначно, а лишь сильно сокращающий выборку из тех, кому они могут принадлежать.

Характер сведений, опубликованных в статье, не позволяет определить пол человека, его имя и отчество. Фамилия гражданки С. не является уникальной и довольно распространена».

На этом основании Управление Роскомнадзора не обнаружило в действиях редакции газеты признаков нарушения установленного законом порядка использования или распространения информации о гражданах (персональных данных).

Вывод: сочетание фамилия + инициалы не является персональными данными, подлежащими защите Законом № 152-ФЗ «О персональных данных».

Когда не нужно согласие

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Принципы и условия обработки ПД

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

  • частные сведения используются только для заранее оговоренных двумя сторонами задач;
  • составление базы из личной информации невозможно;
  • на использование сведений должны быть основания;
  • обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
  • обрабатываться должна только действующая информация;
  • объемы сведений не превышают разрешенного соглашением показателя;
  • хранение информации не превышает временной промежуток, необходимый для достижения цели;
  • устаревшие сведения подлежат немедленному уничтожению.

Частная информация используется в конкретных условиях:

  • обязательное согласие физического лица;
  • судопроизводство;
  • приведение приговора в исполнение;
  • ситуации, в которых под угрозой жизнь субъекта.

В случаях, если организация возлагает работу по обработке частных сведений на третье лицо, ответственность полностью переходит на компанию, занимающуюся использованием и хранением информации.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. 

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). 

Персональные данные − это прямо или косвенно относящаяся к физическому лицу информация, с помощью которой он может быть идентифицирован. К персональным данным относятся  ФИО, паспортные данные, ИНН, СНИЛС, дата рождения, адрес (регион, город, улица, дом, квартира), образование, место работы, семейное и социальное положение, сведения о здоровье, уровень дохода и т.д., то есть, любые сведения, по которым можно идентифицировать человека. При этом, чтобы считать данные персональными, их необходимо использовать в совокупности, так как только лишь по фамилии или по данным об образовании идентифицировать личность невозможно.  

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Суть закона

Требования постановления заключаются в следующих аспектах:

  1. Организация обрабатывает персональные данные только при заключении письменного соглашения с владельцем.
  2. Биометрические сведения не разглашаются третьим лицам.
  3. Хранить информацию можно только на территории России. Это условие соблюдается для всех видов носителей, в том числе и хостингов интернет-сайтов.
  4. Оператор использует частные данные исключительно при процессах, оговоренных в соглашении. С ними владелец информации ознакомлен.
  5. При завершении работы организация обязана уничтожить данные.

Контролируют соблюдение всех условий закона государственные организации:

  • Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю;
  • трудовая инспекция.

У законопроекта три действующие стороны: организация,  использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.

Что грозит за нарушение закона

При несоблюдении аспектов закона, согласно его 21 статье, операторы данных будут наказаны следующими штрафами:

  • 40 000 рублей за несвоевременное удаление личных данных;
  • 50 000 рублей за хранение информации в открытом доступе;
  • 75 000 рублей за сбор персональных данных без уведомления об этом владельца.

Суммы штрафов суммируются при нарушении нескольких пунктов одновременно, притом физическое лицо, которому принадлежала информация, может подать на организацию в суд для возмещения морального ущерба. Помимо наказания рублем, Роскомнадзор вправе заблокировать сайт оператора персональных данных. Уголовное наказание отсутствует.

Обеспечение безопасности персональных данных при их обработке

В 18, 18.1, 19 параграфах ФЗ-152 сообщается, что вся ответственность за безопасность и сохранность частной информации полностью ложится на оператора. При использовании личных сведений физического лица организации должны быть уверены, что проводимая ими работа конфиденциальна, а утечки быть не может.

Также органами государственной власти устанавливаются следующие параметры, влияющие на безопасность личных сведений:

  • Уровень защищенности — категория ограничения использования частной информации в тех случаях, когда данные могут оказаться под угрозой.
  • Требования к безопасности информационных сетей — организация должна быть уверена в защищенности базы с личной информацией в сети.
  • Технический уровень носителей информации — категория, которая заставляет операторов пользоваться только максимально безопасными средствами для хранения данных.

Все требования для поддержания безопасности хранения и использования данных должны своевременно выполняться оператором. За этим процессом пристально следят контролирующие органы.

Что такое персональные данные

В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — тот, кто организует и обрабатывает персональные данные. 

Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:. Другими словами, персданные — это та информация, по которой можно идентифицировать человека

Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных

Другими словами, персданные — это та информация, по которой можно идентифицировать человека. Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить приказ об утверждении положения о защите персональных данных работников?

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  • положение о защите персональных данных наемных сотрудников;
  • обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;
  • согласие самого работника на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись

Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Гость форума
От: admin

Эта тема закрыта для публикации ответов.