Какова цель обработки персональных данных?

Что это такое?

Любая информация, прямо или косвенно относящаяся к конкретному лицу, классифицируется как «персональные данные».

Обработка этой информации – любое действие или операция с личными данными субъекта: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Зачем собирать информацию о субъекте и давать согласие на ее анализ.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных.

Согласие на обработку персональных данных

Такой документ должен содержать следующие разделы:

  1. В документе указывается, кто выражает согласие, указываются паспортные данные.
  2. Даётся наименование оператора, которому даётся разрешение.
  3. Пишут, для каких целей обработки даётся согласие.
  4. Конкретно перечисляется список данных, на обработку которых даётся разрешение.
  5. Перечисляются все операции с ними, о которых идёт речь.
  6. Период времени действия разрешения.
  7. Ставится подпись, ее расшифровка и дата.

Составленное разрешение согласно образцу, даёт разрешение только на то, что в нем конкретно указано.

Для этого потребуются подробности о доходе, занятости, составе семьи и некоторые другие.

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Нет, не являются.

Общие цели обработки персональных данных сотрудников в организации

Вне зависимости от конкретных принципов, которые могут быть установлены в компании, каждый работодатель в обязательном порядке преследует общие для трудовых взаимоотношений цели при обработке персональных данных в организации. К таковым общим целям можно отнести:

Документальное оформление трудовых взаимоотношений в соответствии с требованиями законодательства. При заключении трудового договора, работодатель получает доступ и проводит обработку персональных данных соискателя в любом случае. Поэтому таковая цель обработки личной информации является одной из основных.

  • Ведение кадрового делопроизводства и учета на предприятии. Каждый работодатель обеспечивает хранение трудовых книжек работников, их личных карточек или же личных дел и внесение изменений в означенные документы.
  • Налогообложение и уплата страховых сборов. В Российской Федерации именно на работодателей возлагается обязанность по уплате налогов за своих трудящихся и страховых сборов в систему пенсионного и социального страхования.
  • Выполнение иных действий, связанных с исполнением требований законодательства в отношении учета, сбора и передачи информации, которая может включать в себя и личные сведения трудящихся.
  • Исполнение требований уполномоченных органов, например, правоохранителей, когда они требуют доступ к личной информации сотрудника.
  • Во всех вышеозначенных ситуациях обработке подлежат общедоступные данные работника, которые непосредственно необходимы для решения соответствующих вопросов. При этом истребовать согласие сотрудника на обработку означенных данных нет необходимости — само желание его заключить трудовой договор свидетельствует о подобном согласии. В отношении биометрических и иных личных сведений согласие работника не требуется только при обращении уполномоченных органов.

    Личные сведения могут собираться работодателями не только в целях исполнения прямых требований российского законодательства, но и для решения других задач.

    Персональные данные работников: 5 основных правил по организации, обработке и хранению персональной информации

    Что такое персональные данные в организации?

    Читайте также:  Пенсионный возраст в Японии в 2020 году

    Каждая организация обрабатывает огромный массив информации. Не исключение — сведения о физических лицах. За нарушение законодательства о персональных данных организацию могут оштрафовать, подать в суд и причинить иные неприятности.

    Федеральный закон от 27 июля 2006 г. N 152-ФЗ (далее 152-ФЗ) исчерпывающего перечня персональных данных не содержит. Компаниям необходимо исходить из того, что это любые сведения, позволяющие опознать физическое лицо. В разъяснениях федеральных органов встречаются различные трактовки определения ПДн. Так, Министерство экономического развития в своем письме от 02.10.2015 N ОГ-Д28-12951 считает, что к персональным данным работника, помимо личных:

    • фамилии,
    • имени,
    • отчества,
    • даты и места рождения,
    • адреса,
    • семейного положения,

    относятся сведения об:

    • образовании,
    • профессии,
    • занимаемой должности,
    • стаже работы.

    Роскомнадзор в своем письме от 07.02.2014 N 08КМ-3681 указывает, что персональными данными являются сведения о заработной плате.

    Сведения, обрабатываемые организацией разделяются на две основные группы:

    • персональные данные работников организации;
    • персональные данные, попадающие в организацию в связи с ее деятельностью, например, персональные данные клиентов, контрагентов, посетителей сайта организации.

    Согласно закону 152-ФЗ: организация, обрабатывающая такие данные самостоятельно или совместно с другими лицами, является — оператором персональных данных. Оператор и иные лица, получившие доступ к ПДн должны обеспечить конфиденциальность данных:

    не допустить раскрытия информации и распространения без согласия физического лица — субъекта персональных данных.

    Жизненный цикл обработки персональных данных сотрудников в организации

    По общему правилу персональные данные обрабатываются с согласия физического лица. (п. 1 ч. 1 ст. 6 152-ФЗ). С момента поступления в организацию каких-либо сведений о физическом лице организация должна предпринять необходимые меры для сохранности и правомерной обработки таких сведений. Согласие на обработку ПДн должно быть конкретным и информированным. Не забывайте прописать в документе:

    • цели обработки ПДн,
    • способы обработки с указанием действий, совершаемых с ПДн,
    • объем обрабатываемых ПДн.

    Давая согласие субъект персональных данных обозначает объем и границы обработки сведений для каждого конкретного случая их обработки, а работодатель обязует обрабатывать полученные данные только для целей и в объеме на которые оно получено.

    Обязательная письменная форма согласия предусматривается только в случаях, указанных в федеральных законах, например, при обработке специальных категорий персональных данных (ст. 10 закона 152-ФЗ):

    • расовая принадлежность,
    • политические и религиозные взгляды,
    • состояние здоровья.

    Если законом не предусмотрена письменная форма согласия, подойдет любая иная форма

    • устная,
    • включение соответствующего пункта в договор и т.д.

    Единственное правило: перед началом обработки убедитесь, что для всех категорий обрабатываемых данных получено необходимое согласие работника.

    При трудоустройстве, физическое лицо передает работодателю определенный набор документов, содержащих персональные сведения. Исчерпывающего перечня законодательство не содержит, но наиболее стандартный список указан в форме T2 — «личной карточке работника».

    Обработка ПДн работника осуществляется в целях:

    • обеспечения соблюдения законов и иных нормативных правовых актов,
    • содействия работникам в трудоустройстве,
    • получении образования,
    • продвижении по службе,
    • обеспечения личной безопасности работников,
    • контроля количества и качества выполняемой работы,
    • обеспечения сохранности имущества.

    Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Все документы, регламентирующие обработку персональных данных сотрудников, размещаются для ознакомления работниками в открытом доступе. Из приведенных норм можно вывести следующее правило — разработайте и примите локальный нормативный акт, регулирующий сбор, обработку и хранения персональных данных, а также ознакомьте с ним под роспись всех работников.

    Работник вправе отозвать согласие об обработке персональных данных, в соответствии с частью 2 статьи 9 закона 152-ФЗ». Может ли в данном случае он продолжить работать на этого работодателя? Согласно этой же части, оператор вправе продолжить обработку персональных данных без согласия субъекта, при наличии оснований, предусмотренных федеральным законом, в том числе и для исполнения договора, стороной которого является субъект ПДн (пункт 5 части 1 статьи 6 152-ФЗ). Таким договором может быть трудовой договор и работодатель вправе продолжить обрабатывать персональные данные работника, без его согласия в целях и объеме необходимых для исполнения указанного договора.

    В силу ст. 88 ТК РФ доступ к персональным данным работников должны иметь только специально уполномоченные лица. При этом указанные лица вправе получать только те сведения, которые необходимы для выполнения конкретных функций. Помимо этого, лица, получающие персональные сведения работника, обязаны соблюдать режим конфиденциальности. Ответственные сотрудники должны быть назначены приказом, а документы, определяющие политику в области обработки персональных данных должны быть доступны для всех сотрудников организации. Например, работодатель планирует установить в офисе видеонаблюдение, для этого работодателю необходимо принять акт, регламентирующий порядок видеонаблюдения и назначить ответственных за сбор таких данных. Важно, чтобы ответственные работники были ознакомлены с правилами обработки и хранения персональных данных, принятыми в организации, а также о режиме конфиденциальности, в отношении персональных данных работников. Создание в организации эффективной политики в области сбора, обработки и хранения персональных данных поможет избежать множества негативных последствий для организации.
    У вас есть вопросы по разработке ОРД – пишите в комментариях. Мы с радостью на них ответим.

    Особенности обработки и защиты персональных данных соискателей и уволенных сотрудников

    Помимо персональных данных своих сотрудников в организацию, как правило, попадают множество персональных данных других лиц, например, соискателей. Обработка ПДн соискателя должна осуществляться с его согласия. Из общего правила есть несколько исключений:

    • Интересы потенциальных кандидатов на вакансию представляет кадровое агентство;
    • Кандидат на вакансию разместил свое резюме в открытом доступе.

    Если соискатель направляет свое резюме по электронной почте или факсу работодателю рекомендуется установить факт направления резюме соискателем лично. Получать согласие необходимо

    • в случае направления запросов по прежним местам работы,
    • для уточнения или получения дополнительной информации о соискателе.

    Если по какой-либо причине соискатель не трудоустраивается, все предоставленные им сведения должны быть уничтожены в течение тридцати дней.

    Обработка персональных данных уволенных сотрудников возможна только в определенных законом случаях:

    • документы, необходимые для исчисления, удержания и перечисления налогов хранятся в течение 4-х лет;
    • базы данных отпусков хранятся пять лет;
    • приказы о дисциплинарных взысканиях три года;
    • трудовые договоры хранятся семьдесят пять лет, если делопроизводство по ним закончено 1 января 2003 года и пятьдесят лет, если позже;

    Как и в случае с претендентами на вакансию, так и с действующими и уволенными работниками важно обрабатывать персональные данные только в том объеме, в каком это необходимо для целей обработки.

    Согласие на передачу персональных данных работника третьим лицам

    По общему правилу работодатель не вправе сообщать персональные сведения о работнике третьим лицам, без его согласия. Исключениями являются случаи, предусмотренные трудовым законодательством и иными законодательными актами.

    • передача персональных данных в ПФР или ФСС России (абз. 15 ч. 2 ст. 22 ТК РФ);
    • налоговые органы (ст. 24 НК РФ);
    • при получении мотивированного запроса судебного пристава (ст. 64 ФЗ “Об исполнительном производстве”);
    • заключении договора с провайдером (ст. 44 Федерального закона от 07.07.2003 N 126-ФЗ “О связи”).

    Все случаи передачи персональных данных физического лица без его согласия это как правило императивные предписания законодательных актов. Если нормы, предписывающей обязанность передать какие-либо сведения, содержащие персональные данные, нет, то согласие физического лица на передачу его данных придется получить.

    Помимо императивных предписаний о раскрытии сведений, содержащих персональные данные, согласие может не требоваться, когда сведения передаются в целях предупреждения угрозы жизни и здоровью работника. Например, работник не появился на рабочем месте и его местонахождение не известно. Работодатель может направить запрос в медицинские организации и органы внутренних дел с указанием информации о работнике и это не будет нарушением правил хранения персональных данных.

    При заключении договора зарплатного проекта с кредитной организацией или на выпуск платежных карт для сотрудников работодатель не вправе передавать кредитной организации персональные данные работников. Работник сам даст согласие банку, либо банк включит пункт об обработке персональных данных в договор, подписываемый сотрудником. Аналогично работодатель должен получить согласие всех работников, если в организации кадровый или бухгалтерский учет поручен сторонней организации. Исходя из правил, предусмотренных трудовым законодательством, а также корреспондирующими с ним положениями закона 152-ФЗ работодателю необходимо спрашивать согласие у работника для каждого конкретного случая передачи персональных данных.

    Ответственность за нарушения обработки персональных данных в организации

    За нарушение требований обработки персональных данных предусмотрены следующие виды ответственности:

    • Дисциплинарная
    • Материальная
    • Административная
    • Уголовная

    Дисциплинарная ответственность заключается в том, что сотрудник, имеющий доступ к персональным данным и передавший их, без получения согласия физического лица может быть уволен по инициативе работодателя, как за грубое нарушение работником трудовых обязанностей (пп. «в» п. 6 ч. 1 ст. 81 ТК РФ). Существенным условием увольнения работника по этому основанию будет раскрытие работником сведений, которые он обязывался не разглашать. (п. 43 Постановление Пленума Верховного Суда РФ от 17.03.2004 N 2). При оспаривании работником увольнения в суде, работодатель должен факт нарушения правил обработки персональных данных сотрудником, уполномоченным на их обработку. Так при рассмотрении дела о восстановлении на работе сотрудника, уволенного за разглашение персональных данных другого сотрудника, суд указал что представление доказательств в порядке ст. 56 ГПК РФ, включающих в себя персональные данные других сотрудников организации, для защиты своих трудовых прав, не свидетельствует о раскрытии работником персональных данных других работников неопределенному кругу лиц в рамках трудового спора. Они лишь свидетельствуют о предоставлении работником доказательств в обоснование своей правовой позиции суду при рассмотрении его исковых требований об оспаривании дисциплинарного взыскания. (Апелляционное определение Московского городского суда от 20.11.2018 по делу N 33-44167/2018)

    За нарушение правил обработки персональных данных организацию или должностное лицо могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Составлять протоколы об административном правонарушении уполномочены должностные лица Роскомнадзора, а привлекать к ответственности судьи мировых судов. Срок давности за совершение данного правонарушения составляет три месяца. Должностное лицо, ответственное за обработку персональных данных может быть привлечено к административной ответственности, за не размещение в открытом доступе документа, определяющего политику в отношении персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. (Постановление Тюменского областного суда от 14.11.2017 N 4А-598/2017).

    Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена по следующим статьям Уголовного кодекса:

    • Нарушение неприкосновенности частной жизни;
    • Отказ в предоставлении гражданину информации;
    • Неправомерный доступ к компьютерной информации.

    Субъектом уголовного преступления может быть только физическое лицо, однако привлечение виновного работника к уголовной ответственности не освобождает от административной ответственности организацию.

    Как правило, дело об административном правонарушении возбуждается после проведения уполномоченным органом проверок организации. Инспекторы надзорного органа могут оштрафовать организацию за отсутствие у нее документов, регламентирующих политику в области обработки персональных данных, а также несоответствие таких документов законодательству, осуществление обработки или передачи данных третьим без согласия на то физических лиц субъектов персональных данных.

    Если у вас остались вопросы, появились предложения, замечания, наблюдения – не раздумывая, пишите нам в комментариях. Мы с удовольствием решим эту задачу 🙂

    Получать согласие необходимо.

    При обработке персональных данных организации следует:
    1. Разобраться, с данными каких категорий субъектов она имеет дело, на каком основании и с какой целью она их использует.
    2. Ознакомиться с законом и решить, как будут выполняться требования, отразить это в локальных нормативных актах.
    3. Принять соответствующие организационные меры. Например, опубликовать «Политику в отношении обработки персональных данных» и быть готовой выполнять те организационные требования, которые необходимы в ходе операционной деятельности.
    4. Позаботиться о технических мерах, понять, какие технические меры должны быть приняты, обеспечить принятие этих мер.

    Существенное дополнение: в рамках текущего законодательства ни у одного контролирующего органа нет полномочий на то, чтобы контролировать выполнение технических мер у коммерческих частных организаций. Роскомнадзор может контролировать только выполнение правовых и организационных мер у частных компаний. Поэтому о четвертом шаге можно говорить формально: закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер. Что касается государственных организаций, то для них требования по использованию средств защиты информации четко определены и подробно описаны.

    Игорь Луканин, руководитель продукта «Контур.Персональные данные»

    Поэтому о четвертом шаге можно говорить формально закон предоставляет возможность коммерческим компаниям большую свободу в выборе технических мер.

    Кем осуществляется?

    Под персональными данными понимается такая информация, которая содержит основные сведения о лице, представляющем интерес для определённого круга представителей государственных и иных служб.

    В частности, на производстве (в организации), персональные данные представляют интерес для работодателя, который осуществляет управление организацией труда на производстве на основании сведений о своих сотрудниках.

    Работодатель имеет право затребовать любые персональные данные, имеющиеся в учётных записях о работнике. Кроме него, доступ к персональным данным имеет ограниченный круг лиц, который осуществляет операционную работу. Как правило, это секретариат и сотрудники кадровой службы.

    Оператор, осуществляющий информационную деятельность с персональными данными, прежде, чем приступить к обозначенной работе, проходит инструктаж. Он знакомится с правилами работы и принципами, запрещающими разглашение сведений, содержащихся в персональных данных.

    На него возлагается ответственность за обработку персональных данных работников, о чём ему сообщается под роспись, которая подтверждает правомочность его работы с информационной базой.

    для продвижения по службе и контроля, за возможностью карьерного роста;.

    Какова цель обработки персональных данных?

    1. Термины и определения, используемые в настоящем документе.

    1.1. Общество – АО ТК «Гранд Сервис Экспресс».

    1.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    1.3. Пользователь услуг Общества – субъект персональных данных (пассажир либо иное физическое лицо, пользующееся услугами, оказываемыми Обществом, а также иные лица, чьи персональные данные стали известны в силу предоставления им со стороны Общества социальных льгот, гарантий и компенсаций, либо в результате их участия в программах поощрения пользователей услуг Общества).

    1.4. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции) совершаемые с персональными данными.

    Читайте также:  Когда можно получить инвалидность при диабете?

    1.5. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

    1.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    1.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных.

    1.8. Конфиденциальность персональных данных – обязательное для соблюдения оператором и иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания.

    1.9. Защита персональных данных – деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.

    2. Общие положения.

    2.1. Настоящий документ, разработанный на основании Конституции Российской Федерации, Гражданского кодекса Российской Федерации, федеральных законов «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», «О персональных данных», «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов Российской Федерации и нормативных актов Общества, устанавливает единые цели, принципы и правила обработки персональных данных в Обществе и определяет основные меры, реализуемые Обществом для обеспечения защиты персональных данных.

    2.2. Общество является юридическим лицом, которое обеспечивает защиту персональных данных их субъектов, зарегистрированных на сайте – https://grandtrain.ru/, куда поступают и подлежат первоначальной обработке указанные персональные данные. Общество принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

    2.3. Настоящий документ является общедоступным и подлежит размещению на официальном сайте Общества.

    3. Цели обработки персональных данных

    3.1. Обработка персональных данных пользователей услуг Общества осуществляется в целях: исполнения договоров перевозки и предоставления дополнительных услуг во время осуществления перевозки; обеспечения транспортной безопасности; повышения качества обслуживания пассажиров и доступности железнодорожных перевозок пассажиров путем реализации дополнительных программ поощрения пользователей услуг Общества.

    3.2. Обработка персональных данных пользователей услуг Общества осуществляется в целях заключения и исполнения заключенных с ними договоров.

    4. Принципы и условия обработки персональных данных

    4.1. Обработка персональных данных в Обществе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны, а именно:

    – обработка осуществляется на законной и справедливой основе;

    – обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;

    – не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

    – обработке подлежат только те персональные данные, которые отвечают целям обработки;

    – содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка данных, избыточных по отношению к заявленным целям;

    – при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. Общество принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;

    – хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных;

    – обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

    4.2. Обработка персональных данных в Обществе осуществляется с согласия пользователей услуг, если иное не предусмотрено законодательством Российской Федерации. При обработке персональных данных Общество обязано обеспечить их конфиденциальность.

    5. Субъекты персональных данных

    5.1. Общество осуществляет обработку персональных данных следующих категорий субъектов персональных данных: пользователей услуг Общества, а равно пассажиров либо иных физических лиц, пользующихся услугами, оказываемыми Обществом и иных лиц, чьи персональные данные стали известны в силу предоставления им со стороны Общества социальных льгот, гарантий и компенсаций, либо в результате их участия в программах поощрения пользователей услуг Общества.

    6. Обрабатываемые персональные данные

    6.1. Общество обрабатывает следующие персональные данные пользователей услуг:

    – фамилия, имя, отчество; число, месяц, год рождения; пол; вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (для несовершеннолетних – свидетельство о рождении или его нотариально заверенная копия); адрес электронной почты; номер телефона; гражданство; пункт отправления, пункт назначения; дата поездки.

    В Обществе могут обрабатываться также другие персональные данные пользователей услуг, необходимые для реализации целей обработки, указанных в пункте 3.1. настоящего документа.

    7. Обработка персональных данных в Обществе

    7.1. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

    7.2. К обработке персональных данных допускаются только те работники Общества, в должностные обязанности которых входит обработка персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

    7.3. Общество может осуществлять следующие действия (операции) с персональными данными пользователей услуг: сбор, запись, систематизацию,

    накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществлять любые другие действия, предусмотренные действующим законодательством, с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и/или доступ к таким персональным данным.

    7.4. Субъект персональных данных в соответствии с федеральным законодательством вправе обратиться в Общество с запросом на получение информации, касающейся обработки его персональных данных, об уточнении его персональных данных, ограничения их обработки, блокирования или уничтожения (в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос в письменном виде может быть направлен по адресу Общества, указанному на сайте, либо по адресу электронной почты: support@tkgse.ru в форме электронного документа. В рамках полученного запроса Общество осуществляет соответствующие мероприятия и направляет ответ по запросу в течение срока, установленного федеральным законодательством.

    7.5. Пользователь услуг может также уточнить свои персональные данные путем внесения изменения в персональные данные в личном кабинете на сайте Общества, через форму обратной связи, после его идентификации.

    7.6. Общество никогда не предоставляет полученную в ходе своей деятельности от пользователей услуг конфиденциальную информацию о персональных данных, банковских реквизитах и т.п. третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

    Данные сведения могут передаваться организациям – партнерам Общества в целях оформления ж.д билетов, дополнительных услуг (страхование проезда, трансфер в/из вокзала, бронирование отелей, аренду автомобилей и прочих услуг), осуществления платежей с платежных карт банковских систем исключительно в случаях и порядке, предусмотренных законодательством.

    Более подробная информация о третьих лицах, вовлеченных в обработку персональных данных (наименования, адреса и цель передачи персональных данных), может быть предоставлена субъекту персональных данных по его запросу.

    7.7. Отдельная информация может передаваться в правоохранительные и другие государственные органы исключительно в соответствии с законодательством Российской Федерации.

    7.8. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

    7.9. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей или в случае отзыва согласия на обработку персональных данных, если иное не предусмотрено законодательством Российской Федерации.

    7.10. Пользователь сайта https://grandtrain.ru/ дает добровольное согласие на хранение и передачу информации, в том числе с использованием файлов cookies.

    8. Защита информации

    8.1. Защита информации является одной из основных задач Общества наряду с безопасностью перевозки пассажиров. В целях предотвращения несанкционированного доступа, неоговоренной передачи персональных данных третьим лицам или нецелевого использования персональных данных пользователей услуг постоянно разрабатывает и модернизирует средства осуществления защиты получаемой информации. Регулярно проверяются процессы сбора, хранения и обработки данных, используются специальные защитные механизмы и технологии.

    8.2. Общество принимает необходимые и достаточные организационные и технические меры для защиты персональной информации субъектов персональных данных от неправомерного или случайного доступа, изменения, копирования, блокирования, распространения, уничтожения и иных неправомерных действий третьих лиц.

    9. Меры защиты, реализуемые Обществом при обработке персональных данных

    9.1. Принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;

    9.2. Назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах Общества;

    9.3. Организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Обществе;

    9.4. Создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;

    9.5. Организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;

    9.6. Хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

    9.7. Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;

    9.8. Обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;

    9.9. Установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет;

    9.10. Обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;

    9.11. Осуществление внутреннего контроля соблюдения в Обществе законодательства Российской Федерации и внутренних нормативных актов при обработке персональных данных.

    10. Ответственность

    10.1. За нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных ответственность определяется в соответствии с законодательством Российской Федерации.

    Общие положения.

    Основы обработки персональных данных

    Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного — САМ ЗАКОН ВЫ НЕ ЧИТАЛИ. И, судя по обратной связи, информация требует более детальной проработки.
    Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

    Основы основ.

    О чем говорит закон

    Здесь сразу стоит обратить внимание на принципы обработки ПДн, введенные в статьях 5 и 6 закона «О персональных данных» [ 1 ] . Рассмотрим наиболее значимые пункты:

    • обработка ПДн должна проводиться назаконной и справедливой основе, то есть для каждого случая обработки персональных данных должно быть законное основание, или нормы, прямо предусмотренные законодательством, или согласие субъекта ПДн;
    • закон требует ограничивать обработку ПДнконкретными, заранее определенными и законными целями, при этом нельзя обрабатывать данные в целях, которые не были заявлены при сборе;
    • состав и объем обрабатываемых персональных данных должен соответствовать цели их обработки. Отклонение от указанных требований является нарушением;
    • следующий принцип обработки – точность, достаточность и актуальностьобрабатываемых данных. Если данные являются неточными, неактуальными, незаконно полученными или не соответствуют цели обработки, закон требует от оператора ПДн либо уточнить эти данные, либо уничтожить. Во многих случаях это оказывает влияние на решение, принимаемое в отношении субъектов ПДн, и затрагивает их законные права;
    • Последний принцип, на котором надо остановиться, закон разрешает хранить ПДн только до того момента, когда будет достигнута цель обработки или минует надобность для достижения этой цели. После этого данные должны быть уничтожены или обезличены.

    Предположим, человек ищет работу и отправляет свое резюме или анкету в компанию.

    Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

    Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

    Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

    6 при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;.

    Обработка и защита персональных данных: часто задаваемые вопросы

    В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают защищать информацию ограниченного доступа, а в случае несоблюдения этих требований — привлекать организации к ответственности со всеми вытекающими последствиями. Для тех, кому интересна тема защиты персональных данных, мы подготовили ответы на часто задаваемые вопросы.

    # Как классифицируется информация в соответствии с российским законодательством?

    Согласно российскому законодательству, а если точнее, ФЗ-149 «Об информации, информационных технологиях и о защите информации», классифицируется она по способу распространения и по видам доступа, подразделяясь на две категории: общедоступную информацию и информацию ограниченного доступа .

    Читайте также:  Как происходит оценка акций для вступления в наследство

    # Какая информация относится к информации ограниченного доступа?

    Чтобы информация рассматривалась как информация с ограниченным доступом , необходимо соблюдение следующих условий:

    • Информация должна быть документированной, то есть зафиксированной на материальном носителе.
    • Должен существовать нормативный акт или закон, в соответствии с которым происходит ограничение доступа

    Как видно из таблицы, данные, относящиеся к информации ограниченного доступа , делятся на категории и регламентируются соответствующей буквой закона.

    # Что такое государственная тайна и какая информация к ней относится?

    # Что такое конфиденциальная информация и что к ней относится?

    Конфиденциальная информация, как и государственная тайна, относится к информации ограниченного доступа. Согласно указу Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» , к видам информации конфиденциального характера относятся: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна, тайна следствия и судопроизводства. Для лучшего понимания наиболее распространенных терминов предлагаем воспользоваться списком определений.

    # Что понимается под обработкой персональных данных?

    Под обработкой ПДн понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение ПДн.

    # Какие предприятия должны защищать персональные данные?

    Определение
    Согласно статье 3 ФЗ-152, вводится термин «оператора» , под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.

    Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

    # Что требуется от оператора персональных данных?

    В первую очередь, выполнить ряд организационных, правовых и технических мер, описанных в Федеральном законе и соответствующих подзаконных актах (в том числе статьи 8.1, 19):

    • Назначить ответственное лицо для организации обработки персональных данных.
    • Издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
    • Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Федерального закона и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
    • Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
    • Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.
    • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

    Обратите внимание, что обеспечение безопасности является важным моментом в вопросе требований, предъявляемых к оператору персональных данных.
    Обеспечение безопасности достигается:

    • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
    • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    • применением прошедших в установленном порядке процедур по оценке соответствия средств защиты информации;
    • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
    • учетом машинных носителей персональных данных;
    • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
    • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
    • контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

    # Кто занимается проверками и какие ресурсы есть у этих организаций?

    На основании статьи 23 ФЗ-152, проверками занимается Уполномоченный орган по защите прав субъектов ПДн.
    Кроме того, согласно статье 19 озвученного закона, контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

    ФСБ и ФСТЭК, решением Правительства Российской Федерации, с учетом значимости и содержания обрабатываемых персональных данных, могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн в ходе их обработки в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

    Помимо ФСБ и ФСТЭК на «тропу проверок» зачастую выходит и другой инспектирующий орган в лице Роскомнадзора. Вам наверняка приходилось слышать о том, что правительство РФ наделило РКН полномочиями, позволяющими контролировать операторов ПДн. Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных» входит в задачи этой организации.

    Помимо сказанного, уполномоченный орган по защите прав субъектов ПДн выполняет:

    • рассмотрение обращений субъектов ПДн, принятие в пределах своих полномочий решений по результатам их рассмотрения;
    • ведение реестра операторов, занимающихся обработкой ПДн;
    • подготовку предложений по совершенствованию нормативно-правового регулирования в области защиты прав субъектов ПДн.

    В соответствии с ФЗ-294 «О защите прав юридических лиц и индивидуальных предпринимателей (ИП) при осуществлении государственного контроля (надзора) и муниципального контроля», Роскомнадзор вправе выполнять плановые, внеплановые, документарные и выездные виды проверок.
    Основаниями для осуществления проверок выступают:

    • ежегодный план проверок операторов ПДн со сведениями, определяемыми в части 4 статьи 9 ФЗ-294, который публикуется на официальном сайте Роскомнадзора;
    • истечение срока исполнения оператором ранее выданного предписания об устранении нарушений;
    • поступление в Роскомнадзор обращений и заявлений о фактах нарушения законодательства.

    # Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

    Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности.

    Основные виды лицензий, выдаваемых регулирующими органами

    Лицензия ФСБ (государственная тайна)

    Если организация проводит работы с использованием сведений, представляющих государственную тайну , необходимо получить лицензию ФСБ . Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности.
    Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

    • осуществлять работы с использованием сведений, составляющих государственную тайну;
    • осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
    • осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

    Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных

    Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии.

    Таблица 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

    Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации , является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ.

    Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504:
    ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

    # Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

    Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер.
    В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств.

    Вывод
    Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

    # Что представляет собой аттестат и какой уполномоченный орган его выдает?

    Под аттестатом понимается документ, подтверждающий эффективность принятых Оператором организационно-технических мер защиты. Этот термин вводится в пункте 4 части 2 статьи 19 ФЗ-152.
    Аттестат может выдаваться только :

    • органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну);
    • организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера, в том числе персональных данных).

    # Что представляют собой уровни угроз и уровни защищенности ПДн?

    При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз.

    Таблица 2. Три уровня актуальных угроз

    Угроза I уровняУгроза II уровняУгроза III уровня
    Угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспеченииУгрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспеченииУгрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении

    Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенности персональных данных при их обработке в информационных системах, а также требования для каждого из них.
    Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:

    • типа персональных данных, обрабатываемых информационной системой;
    • типа актуальных угроз;
    • количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

    Таблица 3. Категории обрабатываемых персональных данных

    Средства и решения по защите ПДн играют важную роль в вопросе безопасности, поскольку обеспечивают возможность устранения угроз. Здесь особенно важно понимать, что именно подлежит защите, какие могут быть угрозы и каким образом реализуется сама защита. Для ответа на поставленный вопрос предлагаем воспользоваться приведенной ниже схемой:

    # Кем осуществляется оценка актуальных угроз?

    При выработке технических мер защиты, оценка угроз безопасности является необходимым мероприятием. Эту процедуру, согласно методике оценки актуальных угроз безопасности ПДн при их обработке в ИСПДн, должны выполнять эксперты и специалисты в области защиты информации.

    # Какова ответственность в случае нарушения требований по защите ПДн?

    Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность?

    Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

    • гражданские иски со стороны клиентов или работников;
    • приостановление или прекращение обработки ПДн в организации;
    • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
    • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
    • репутационные риски;
    • риски недобросовестной конкуренции.

    Согласно изменениям в Кодекс РФ об административных правонарушениях, внесённых Законопроектом № 683952-6, принятым в настоящее время в первом чтении, в статью 13.11 вводятся нормы, которые позволят привлечь оператора ПДн в ходе проверки сразу по нескольким составам административного правонарушения с размером штрафа до 30–50 тысяч рублей по каждому факту нарушения.
    Обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) в случаях, не предусмотренных законодательством Российской Федерации о персональных данных, влечёт административную ответственность в размере до 300 тысяч рублей.

    # Можно ли размещать персональные данные в облаке на территории Российской Федерации?

    Да, можно. Об этом мы расскажем в нашем следующем материале.

    Что понимается под обработкой персональных данных.

    Сведения о родителях (законных представителях):

    • Ф.И.О., кем приходится, адресная и контактная информация.

    Дополнительные данные.

    4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.

    Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

    К категориям субъектов персональных данных могут быть отнесены в том числе:

    работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников;

    клиенты и контрагенты оператора (физические лица);

    представители и работники клиентов и контрагентов оператора (юридических лиц).

    В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.

    Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

    Добавить комментарий