Бесплатная горячая линия

Каковы цели обработки персональных данных в организации

Содержание

Что такое персональные данные?

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу , в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
другая информация (см. ФЗ-152 , ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152 , ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных — это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

В каких случаях операторами не должна обеспечиваться конфиденциальность персональных данных?

В соответствии с ч. 2 ст.7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обеспечения конфиденциальности персональных данных не требуется:

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
категория 4 — обезличенные и (или) общедоступные персональные данные;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
объем 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.


Объем / Категория
Объем 3
(<1 000,
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные)
Класс 4
Класс 4
Класс 4
Категория 3 (идентификационные)
Класс 3
Класс 3
Класс 2
Категория 2 (идентификационные и еще)
Класс 3
Класс 2
Класс 1
Категория 1 (медицинские, социальные)
Класс 1
Класс 1
Класс 1

Какие способы обозначил Роскомнадзор?

Роскомнадзор выделил три основных способа обработки информации:

  • Неавтоматизированная обработка сведений конфиденциального характера.
  • Исключительно автоматизированное взаимодействие с передачей данных по сети или без нее.
  • Смешанная обработка персональных данных физических лиц.

Вторая и третья модели обращения с сведениями требуют дополнительного уточнения – какая именно сеть (если вообще предусмотрена) используется для передачи конфиденциальных ведомостей: сеть юридического лица (внутренняя) либо сеть общего пользования Интернет. От указанных выше данных будет зависеть степень защищенность системы и характер угроз.

Законодательные условия

Условиям обработки посвящена статья 6 Федерального закона «О персональных данных». Несоблюдение нижеуказанных условий может стать основанием для санкций со стороны Роскомнадзора, вплоть до отзыва разрешения на работу с ведомостями.

  1. Обязательным условием для оператора является согласие субъекта персональных сведений.
  2. Обработка информации физических лиц допускается для достижения целей, предусмотренных законами Российской Федерации, международными договоренностями и реализации полномочий, функций и обязанностей, возложенных на оператора (о том, каким может быть правовое обоснование для обработки ПД, мы рассказывали тут) .
  3. Допускается использование для совершения правосудия, исполнения судебного решения, акта другого органа или должностного лица, действующего в рамках законодательства Российской Федерации об исполнительном производстве. Данный пункт освобождает оператора от надобности получать согласие у субъекта, а также прекращать работать со сведениями в случае получения отзыва. Правила действуют вплоть до момента осуществления правосудия, после этого ведомости удаляются.
  4. Обработка является необходимой мерой для исполнения обязанностей федеральных властей, внебюджетных фондов, органов местного управления и других организаций, действующих на основе Федерального закона России «Об организации предоставления государственных и муниципальных услуг» № 210 от 27 июля 2010 года.

Что такое обработка персональных данных

Понятие «обработка» представляет собой действия, совершаемые с объектом.

Применительно к информации о гражданах эти действия включают в себя:

  • сбор данных;
  • проверку;
  • представление в виде системы;
  • применение;
  • ликвидацию;
  • сохранение.

Любое юридическое лицо представляет собой оператора обработки персональных данных, поскольку оно так или иначе работает с ними. Ст. 22 Федерального закона № 152-ФЗ от 27.01.2006 г. «О персональных данных» регламентирует основы такой обработки.

Ее положения позволяют оператору самостоятельно обрабатывать персональную информацию, не извещая об этом дополнительно Роскомнадзор.

Ранее закон относил к персональным (личным) данным только фамилию гражданина, его имя с отчеством, место регистрации и данные паспорта. Сейчас этот перечень расширен и включает в себя семейный статус, полученное образование, размер дохода и благосостояния.

Закон позволяет производить обработку информации несколькими методами. Под обработкой автоматизированным способом понимается использование компьютера. Соответственно, неавтоматизированная обработка подразумевает работу с бумажными документами. В настоящее время в большинстве организаций применяется сочетание первого и второго методов.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Шаг 1. Инвентаризация

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Требования к защите персональных данных при их обработке в информационных системах содержатся в Приказе ФСТЭК России № 21.

За основу разработки модели угроз можно взять Базовую модель угроз ФСТЭК России.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

Технические меры

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.

Организационные меры

  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

Согласие на обработку.

  1. Письменная форма согласия. Требования к пунктам согласия отражены . Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях. Например, при обработке биометрических данных, специальных категорий персональных данных  при трансграничной передаче.
  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется. Подробнее о таких случаях
  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Состав персональных данных работника

Ч. 2 ст. 86 ТК РФ предписывает устанавливать количественный и качественный состав персональных данных сотрудника исходя из Конституции России и соответствующих ей законов.

Работа с личной информацией сотрудников заключается в использовании документации двух типов:

  • представляемой гражданином при трудоустройстве в соответствии со ст. 65 ТК РФ. Сюда включаются личные фотографии, информация о рождении, принадлежность к гражданам страны, сведения о семейном статусе, адресе регистрации, полученном образовании и присвоенной специальности. Соответственно, это паспорт гражданина России, свидетельство СНИЛС, документ военнообязанного лица (военный билет) и пр.;
  • составляемой администрацией предприятия без участия гражданина. Речь идет о документации в сфере учета рабочего времени и оплаты труда. Сюда относятся разного рода приказы, издаваемые руководством, карточка сотрудника, табели и платежные ведомости.

Зачем собирать информацию о субъекте и давать согласие на ее анализ?

В ФЗ № 152 указано, что обработка персональных данных ограничивается конкретными законными целями. По этой причине нельзя объединять 2 базы с разными целями.

Цель обработки информации должна быть указана в Соглашении между клиентом или работником и компанией, а политика организации об обработке персональных данных предоставлена в открытом доступе.

В соглашении указывается исчерпывающий список целей, без «т.д. и т.п.»

Необходимо обозначить цели, указанные в учредительных документах, уставе и положениях компании, и также фактически осуществляемые оператором.

Ознакомиться с примерами, как может быть использована личная информация, можно на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Для клиента/пациента

Сведения о состоянии здоровья гражданина относятся к специальной категории персональных данных. Согласно ч. 2 п. 4 ст. 10 ФЗ № 152 обработка таких сведений допускается без согласия субъекта при условии, что она осуществляется в целях:

  • установления диагноза;
  • профилактики заболевания;
  • оказания медицинских и медико-социальных услуг.

Это правило справедливо для ситуаций, когда обработка осуществляется профессиональным врачом, обязанным хранить врачебную тайну в соответствии с законодательством РФ.

Исключение составляют те ситуации, когда получить согласие невозможно, но обработка необходима для защиты жизни или здоровья пациента.

Если человек пользуется какой-либо услугой – заключает договор, оформляет кредит – то есть является клиентом, личные сведения о нём также могут быть обработаны согласно ФЗ № 152.

Данные клиента могут использованы для:

  1. Оказание консультационных, информационных и посреднических услуг.
  2. Заключение и исполнение договора с клиентом.
  3. Ведение кадровой работы и бухгалтерских услуг.
  4. Иные сделки, не запрещенные законодательством РФ.

Для сотрудника организации

Работодатель имеет право на обработку личных данных своих сотрудников, оно закреплено в ст. 22 ФЗ № 152. Цели обработки персональных данных в организации:

  • Оформление гражданско-правовых договоров с гражданами, предусмотренных Законодательством РФ и Уставом предприятия.
  • Кадровый учёт, соблюдение законов и правовых актов, оформление обязательств по трудовым и гражданско-правовым договорам.
  • Помощь в трудоустройстве, получении образования или продвижения по службе, оформлении и использовании льгот.
  • Обеспечение личной безопасности работника и сохранность имущества.
  • Выполнение требований налогового, а также пенсионного законодательства при начислении взносов на пенсионное страхование.
  • Формирование статистики в соответствие с Трудовым, Налоговым Кодексами и федеральными законами.
  • Контроль выполняемой сотрудником работы.
(Ст. 86 «Трудового Кодекса Российской Федерации» от 30.12.2001 г. № 197-ФЗ). Личные сведения о сотруднике, относящиеся к категории «специальные», не подлежат обработке работодателем.

Обязательно должны быть установлены сроки действия Согласия на обработку персональных данных, это может быть конкретная дата или событие, например, увольнение или отзыв сотрудником своего согласия.

Мы подготовили для вас материалы об уведомлении, а также об автоматизированной и ручной обработке информации, ЦОД, о назначении ответственного за организацию обработки.

Цели обработки ПДн в банковском секторе

В сфере предоставления банковских услуг при выполнении определенных банковских операций цели обработки ПДн могут быть следующими:

  • открытие счета в банке, его ведение;
  • денежные переводы;
  • перечисление средств от физлица юридическому лицу без использования банковских счетов;
  • покупка или продажа инвалюты;
  • предоставление консультационных услуг, какой-либо информации, включая использование телефонной связи, электронной почты.

Не все просто с персональной информацией любого гражданина, будь то сотрудник какой-либо компании, пациент медицинского учреждения, клиент банка, любой другой организации. Закон запрещает использовать персональные данные любого человека не только без его согласия, но также и в случае, если эти сведения не нужны для реализации конкретных целей (если субъект ПДн не дал согласия на эти действия). В случае утечки персональных сведений любой гражданин имеет право подать жалобу в Роскомнадзор или обратиться в судебные органы. Поэтому обработка персональных данных должна вестись строго в рамках действующего законодательства.

Медицинская организация

Медицинская организация «Здоровье». Цель обработки:

  • Организация оказания медицинской помощи.
  • Выписка льготных рецептов.
  • Оплата счетов в системе ОМС и ДМС.
  • Использования для статистики и при проведении научно-исследовательской работы.
  • Информирование посредством смс-оповещения о результатах анализов, проводимых акциях и расписании работы специалистов.

Основной порядок процедуры

Наниматель и его помощники при работе с персональной информацией сотрудника обязаны соблюдать определенную правомерность своих действий. Порядок обработки личных данных работников:

  1. Персональные сведения заносятся в электронную базу данных предприятия либо фиксируются на бумажных носителях (личная карточка, дело, трудовая книга и др.).
  2. Работодатель, опираясь на законодательство, устанавливает порядок доступа к обработке личной информации сотрудников.
  3. В должностных инструкциях специалистов, имеющих доступ к личным данным других лиц, нанимателем прописываются их обязанности по работе с информационными системами и соответствующей бумажной документацией.
  4. Обработка персональных сведений должна осуществляться в специальных помещениях, таких как кабинет бухгалтера, комната отдела кадров.
  5. Требования к помещениям, обеспечивающие защищенность информации, утверждаются работодателем.
  6. Список лиц, обладающих правом доступа к индивидуальной информации сотрудников и к непосредственной работе с ней, устанавливается посредством приказа руководителя компании.
  7. Сотрудники, допущенные к личным данным других работников, подписывают соглашение «О неразглашении».
  8. Лица, ответственные за работу с персональной информацией, имею право использовать только определенные данные, требующиеся для конкретной операции, остальные же сведения не должны открываться.
  9. При использовании автоматизированных систем обработки и хранения информации, нужно опираться на постановление Правительства РФ №1119 п. 3, 4 от 01.11.2012г., указывающее на обязательства конкретной организации по обеспечению безопасности персональных сведений (подробнее об обязательстве о неразглашении и других документах читайте тут). Меры по защите сведений утверждены постановлением Правительства РФ №512 от 06.07.2008г. и приказом Роскомнадзора №996 от 05.09.2013г.

    Подробнее о том, что такое положение о защите персональных данных работника, читайте в этом материале.

    ВАЖНО. При выборе меры защиты персональных данных, следует исходить из степени их важности и уровня наносимого вреда, вследствие доступа к ним.
  10. Для правильного ведения ручной обработки информации (книги, журналы, реестры) в инструкции должны прописываться требования постановления Правительства РФ №687 от 15.09.2008г.
  11. Передаваться личные сведения о работнике могут только в случае выполнения требований, указанных в статье 88 ТК РФ.

Наниматель имеет право получить и, в дальнейшем, обрабатывать персональную информацию работника, по причине заключения с ним трудовых отношений.

Принципы

Статья 5 Федерального закона №125-ФЗ от 27.07.2006г. (ред. От 29.07.2017г.) «О персональных данных» описывает принципы работы с информацией. Основные принципы:

  • Личная информация работников должна обрабатываться согласно действующему законодательству.
  • Индивидуальные сведения граждан могут использоваться только для достижения определенных целей, находящихся в рамках закона.
  • Объем и суть персональных данных, взятых для обработки, должны соответствовать поставленным целям, без затрагивания избыточных сведений, не нужных для решения существующего вопроса.
  • Нельзя объединять базы данных, наполненные персональными сведениями, используемыми для достижения несовместимых целей.
  • В процессе работы с личной информацией должна обеспечиваться точность данных, достаточность, актуальность в отношении поставленных руководителем целей.
    СПРАВКА. Ответственное лицо обязано принять меры по уточнению неполных сведений, если выявлена их недостаточность для достижения поставленной задачи.
  • Хранить персональные данные следует до тех пор, пока они требуются для обработки с какой-либо целью, если иной промежуток времени не утвержден законодательно либо договором с выгодополучателем.
  • Сведения должны содержаться в форме, позволяющей без труда распознать субъекта, к которому они относятся.

Когда необходимость в обработке некоторых данных пропадает, их следует обезличить либо вовсе уничтожить.

Пошаговая инструкция

Правила, цели и нормы обработки персональных данных определены главой 2 Федерального закона №125 от 27.07.2006г. (ред. 29.07.2017г.). Пошаговый процесс обработки индивидуальной информации работника включает в себя следующие этапы:

  1. Получение персональной информации о конкретном, принимаемом на работу, сотруднике.
  2. Занесение учетных данных в соответствующие документы или электронную базу.
  3. Обработка имеющихся сведений автоматизированным либо ручным способом.
  4. Хранение данных с периодическим обновлением и уточнением (подробнее о порядке хранения и использования персональных данных работников на бумажных и электронных носителях читайте в этом материале).
  5. Правомерное извлечение информации, ее использование и передача.
  6. Блокировка сведений или их уничтожение.

Правовой контроль за работой с индивидуальными данными включает в себя регулирование всех процессов и стадий работы с ними.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 52-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ст. 22 ч. 3 закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).
Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Согласие: как правильно оформить

Ч. 3 ст. 9 Закона № 152-ФЗ содержит такое положение: оператор обязан либо получить у субъекта официальное согласие на обработку его данных либо представить обусловленные правовыми нормами основания для осуществления подобной деятельности без согласия лица.

Оператору предлагается руководствоваться статьями 2 –11, ч. 1 ст.6, ч.2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ. Ответственность за соблюдение этих норм возлагается на него.

Поскольку статьи 6 и 9 указанного закона обязывают получить согласие работника на такую обработку информации, работодателю рекомендуется подстраховаться, заранее заручившись согласием сотрудника на подобные действия.

При оформлении согласия на работу с персональными данными в текст документа нужно включить:

  • полностью ФИО гражданина, его адрес, данные паспорта, в том числе сведения о его месте и дате выдачи;
  • если речь идет о представителе – ФИО, адрес проживания, данные паспорта, включая сведения о месте и дате выдачи, номер и дата выдачи доверенности, дающей соответствующие полномочия;
  • полное наименование работодателя (если это ИП, то следует указать полностью ФИО);
  • цель работы с информацией;
  • перечень сведений, которые будут подвергнуты обработке;
  • наименование компании или ФИО с адресом гражданина, который проводит обработку сведений в пределах своих обязанностей и компетенции;
  • указание на конкретные способы обработки, которые будут применены к личным сведениям;
  • период времени, в течение которого действует данное работником согласие, и способы отказа от него;
  • подпись гражданина.

Оформляя согласие работника, необходимо придерживаться следующих требований:

  • личные сведения о работнике передаются им работодателю лично;
  • согласие на обработку информации должно даваться исключительно добровольно;
  • согласие на обработку данных предоставляется при передаче работодателю сведений;
  • текст документа о согласии должен быть достаточно подробным, информативным и понятным. Работник подписывает его осознанно.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

Согласно ч. 2 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;(п. 1.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Можно ли отказаться от обработки персональных данных с позиции закона

Гражданин вправе отказаться от обработки его данных без каких-либо правовых последствий такого решения. Ст. 9 указанного выше закона говорит о том, что согласие должно быть добровольным.

Ч. 5 ст. 6 уже упомянутого закона разрешает работодателю обрабатывать сведения о работнике без его официального согласия, если это связано с исполнением трудового соглашения. Работодатель вправе производить такие действия без дополнительного согласия гражданина. Положение касается только лиц, принятых в штат компании.

Важно осознавать последствия отказа от обработки данных в каждом отдельном случае. Если речь идет об оформлении приема на работу, такое решение станет причиной отказа в заключении трудового договора.

Работодатель не обязан заключать трудовой договор при отсутствии возможности работать с информацией. Также отказ подобного рода может отрицательно сказаться на работе, если в организации введен пропускной режим. В таком случае несогласие с обработкой данных влечет невозможность получения и обновления прав доступа к конкретному объекту.

Такой работник не может выполнять закрепленные за ним трудовые обязанности, следовательно, не в состоянии продолжать работу в организации, не имея прав доступа.

Защита персональных данных: ответственность за нарушение законодательства

Законодатель, подробно оговаривая условия обработки информации, предусматривает наказание за их нарушение.

За нарушение правил защиты персональных данных предусматривается ответственность различного рода: административные меры воздействия, дисциплинарные наказания, меры гражданско-правовой, материальной и уголовной ответственности.

При этом отдельные последствия могут наступать не только для граждан и должностных лиц, но и для юридических лиц.

Статья 150 ГК РФ предписывает обеспечивать защиту частной жизни, а также личной тайны. Закон предусматривает как возмещение причиненного ущерба, так и компенсацию морального вреда.

В рассматриваемой сфере эти две категории взаимосвязаны. Изначально нарушение правил обработки информации и ее разглашение причиняют гражданину неимущественный вред, из которого проистекает и имущественный ущерб.

Гражданин вправе оценить каждую из этих категорий и предъявить нарушителю соответствующий иск в судебном порядке. При этом моральный вред также подлежит объективной оценке и возмещается в виде денежной суммы.

П. 7 ст. 243 ТК РФ гласит, что работник, виновный в разглашении личной информации, несет ответственность в полном объеме причиненного вреда.

Виновный в подобном нарушении сотрудник привлекается, помимо прочего, к дисциплинарной ответственности, вплоть до увольнения. Право работодателя применять к работнику санкции закреплено статьей 192 ТК РФ.

Если степень вины работника не слишком велика, вместо увольнения могут применяться выговор либо замечание. В каждом случае этот вопрос решается отдельно.

К сведению! Если должностные обязанности работника так или иначе связаны с обработкой персональных сведений о других лицах, его права и обязанности должны быть четко определены. Они закрепляются в трудовом договоре, а также в нормативно-правовых актах, изданных в данной организации применительно к рассматриваемой области.

Перечень полномочий сотрудника и связанных с ними обязательств нужно максимально четко оговорить, чтобы исключить возможные недоразумения.

Административные санкции (статьи 13.11 и 13.14 КоАП РФ) за нарушения в процессе сбора личной информации, ее хранения и работы с ней включают в себя вынесение предупреждения и наложение штрафа:

  • для граждан – 1 000 – 3 000 руб.;
  • для должностных лиц – 5 000 – 10 000 руб.;
  • для организаций – 20 000 – 50 000 руб.

Если при ведении сотрудником профессиональной деятельности или несении государственной службы произошло разглашение персональных данных лиц, передавших их в данную организацию для обработки, размеры штрафов таковы:

  • для граждан – 500 – 1000 руб.;
  • для должностных лиц – 4 000 – 5 000 руб.

Уголовный кодекс РФ предусматривает меры наказания за вторжение в частную жизнь и нарушение ее неприкосновенности в статье 137. В это понятие включаются также и нарушения в области обработки информации, подпадающие под понятие преступления.

Закон в этом случае более суров, соответственно, санкции здесь таковы:

  • штраф до 200 000 руб., взыскание дохода, полученного нарушителем в течение 18 мес., применение обязательных работ продолжительностью 120 – 180 часов;
  • применение исправительных работ продолжительностью до года;
  • арест гражданина на период до 4 мес.

Если преступление подобного рода было совершено сотрудником, использовавшим для этого свое положение на службе, применяется более строгое наказание.

Оно может заключаться в следующем:

  • штраф 100 000 руб. – 300 000 руб., взыскание заработка или прочего дохода, полученного за период до 2 лет;
  • запрет на ведение конкретной деятельности или работу в определенной должности на срок 2 – 5 лет;
  • арест на период от 4 до 6 месяцев.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона “О персональных данных” от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Хранение личных данных – законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Заключение

С персональными данными работника, клиента или пациента не всё так просто, как кажется на первый взгляд. Просто так, без согласия и предупреждения, они не могут быть переданы третьим лицам или использованы в тех целях, с которыми субъект не согласен. Если человек столкнулся с тем, что произошла утечка его личных данных, он всегда может обратиться в Роскомнадзор или в суд.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Источники

  • https://habr.com/ru/post/107576/
  • https://pravo163.ru/otvety-roskomnadzora-na-voprosy-o-personalnyx-dannyx/
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/pravila.html
  • https://potreb-prava.com/trudovoe-pravo/kakovy-celi-obrabotki-personalnyx-dannyx-v-organizacii.html
  • https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/tsel.html
  • https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/tsel-obrabotki-personalnykh-dannykh/
  • https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/na-rabotnika/poryadok-obrabotki-pd.html
  • https://nalog-nalog.ru/personalnye_dannye/chto-znachit-obrabotka-personalnyh-dannyh/
  • https://otdelkadrov.online/5837-pravovoe-obosnovanie-neobhodimost-obrabotki-personalnyh-dannyh-v-organizatsii
  • https://hr-elearning.ru/organizaciya-zashhity-personalnyy-dannyx-organizacii/
  • https://www.klerk.ru/boss/articles/449381/
[свернуть]
Решите свою юридическую проблему сегодня, не выходя из дома!
300 рублей бесплатно

Напишите свой вопрос - в течении 5 минут наш эксперт перезвонит и бесплатно проконсультирует

 

Заполните форму с контактными данными и получите бесплатную консультацию в течении 5 минут

 
 
Спасибо!
Ваша заявка принята

Юрист позвонит в течение 5 минут

 
Анонимно
Информация о вас не будет разглашена
Быстро
Через 5 минут с вами свяжется наш консультант