Что включает в себя обработка персональных данных. Обработка персональных данных. Что входит в персональные данные работника
Сегодня просто невозможно вообразить деятельность любой организации без обработки информации.
Каждое предприятие собирает, хранит и использует различные , партнерах по бизнесу, клиентах, и других физических лицах.
Несанкционированный доступ к этим данным может привести к потере или их изменению, что может негативно сказаться на деятельности фирмы.
Однако, если планируется передавать личную информацию, например, для оформления банковской зарплатной карты или по программе медицинского страхования, то уведомление в оформлять и отправлять обязательно. Данный документ можно составить как в бумажной, так и в электронной форме.
После этого каждому работодателю полагается назначить лицо, ответственное за организацию обработки данных. Таким лицом может быть любой работник прошедший инструктаж.
Понимая высокую значимость и ценность персональной информации, государство проявляет заботу о соблюдении прав всех своих граждан в области защиты индивидуальных сведений и обязывает всех работодателей создавать условия для этого в рамках своей организации.
Как хранить данные, предприятие решает самостоятельно, закрепляя порядок хранения в определенном документе, как правило, в Положении о персональных данных, или в Правилах внутреннего распорядка.
При обработке личных данных работника необходимо помнить о том, что:
- передача индивидуальных сведений третьим лицам строго запрещена без согласия сотрудника. Исключением здесь являются ситуации, когда это нужно для предупреждения угрозы здоровью и жизни человека;
- под запретом находится передача данных о сотруднике в коммерческих целях без его разрешения;
- лица, обрабатывающие персональные данные, не должны их разглашать, соблюдать режим конфиденциальности (ответственность за неразглашение можно закрепить в должностных инструкциях);
- информация передается в рамках одной организации, у одного работодателя в соответствии с внутрифирменным нормативным актом, с которым должен быть ознакомлен каждый сотрудник;
- доступ к базе данных разрешается только отдельным лицам, и работают они исключительно с информацией, необходимой им для выполнения трудовых функций;
- запрещен сбор сведений о состоянии здоровья сотрудников, за исключением той информации, которая напрямую связана с вопросом о возможности выполнения должностных обязанностей.
Исключением в области передачи данных является информирование некоторых Государственных органов о несчастном производственном случае, а также отправка сведений в ПФР, налоговую службу, ФСС, службы госконтроля и надзора за исполнением трудового законодательства.
Лучше всего, если специалисты, обрабатывающие персональные данные, находятся отдельно от других работников. На рабочих местах данных лиц должны быть размещены сейфы для хранения документов.
Трудовой кодекс указывает на следующие права работников:
- знать о том, какая персональная информация хранится у работодателя, и как она обрабатывается;
- иметь свободный доступ к своим данным и получать копии записей;
- определять представителей для защиты своих данных;
- получать медицинские данные о своем здоровье;
- требовать исключения или поправки неправильной информации о себе;
- просить работодателя об извещении все третьих лиц, которым были переданы неправильные или неполные сведения, обо всех исправлениях, дополнениях, исключениях;
- обращаться в суд в случае неправомерных действий работодателя в области обработки и защиты информации.
Таким образом, организация обработки персональных сведений сотрудников на сегодняшний день требует применения целого ряда мер:
- начиная с изучения целей и состава работы с персональной информаций, разработки внутрифирменных нормативных актов и т.д.,
- заканчивая приобретением специального оборудования для хранения документов, внедрением от неправомерного доступа третьих лиц.
Согласие на обработку персональных данных — относительное нововведение законодательства, обеспечивающее защиту личной информации о человеке от неправомерного использования. Согласие на обработку персональных данных требуется при трудоустройстве, открытии банковского счета и во многих других жизненных ситуациях. Основания и последствия дачи такого согласия, отказа от его предоставления или отзыва изложены в настоящей статье.
Что является персональными данными
Понятие персональных данных дается в ст. 3 одноименного закона № 152-ФЗ от 27.07.2006. Это все сведения, относящиеся к человеку, то есть к физическому лицу. Иными словами, персональными данными можно считать абсолютно любую информацию — от имени до содержания трудовой книжки.
Однако, несмотря на то, что на обработку (то есть изучение, хранение, передачу и т. д.) таких сведений необходимо согласие их носителя, далеко не все из них требуют соблюдения конфиденциальности.
Закон «О персональных данных» делит их на 3 категории:
- общедоступные — основные анкетные данные (имя, отчество, фамилия, гендерная принадлежность, дата рождения и т. д.);
- биометрические — внешние данные и некоторые физиологические особенности (последние — при условии их визуального определения);
- специальные — национальность, вероисповедание, сведения о состоянии здоровья, а также данные о взаимоотношениях с законом (судимость, привлечение к ответственности), частично — информация в сфере занятости (причины увольнения и т. д.).
огласие на обработку персональныхданных требуется от их носителя только при использовании второй и третьей категорий, то есть специальных и биометрических. Общедоступная информация может использоваться свободно в рамках закона, а также в соответствии с общепринятыми канонами морали и этики.
Исключение — обработка информации в рамках уголовного дела, в ходе оперативно-розыскной деятельности, в целях установления личности при отсутствии документов (в основном касается биометрических данных) и в прочих подобных ситуациях.
В таких ситуациях согласия на обработку персональных данных не требуется.
Защита персональных данных работника
Принимая сотрудника на работу, работодатель, в соответствии со ст. 65 Трудового кодекса РФ, требует от него ряд документов, а именно:
- паспорт;
- диплом или другой документ, подтверждающий наличие образования или квалификации;
- трудовую книжку (исключение — первичное трудоустройство);
- СНИЛС;
- военный билет (обязательно для мужчин, для женщин — в случае постановки на воинский учет).
Если должность, на которую претендует соискатель, не предполагает ее замещения гражданином, имеющим судимость, может потребоваться еще и соответствующая справка.
Все эти документы содержат персональные данные о будущем или настоящем сотруднике. Поэтому, как только они оказываются в руках работодателя, в действие вступают положения гл. 14 ТК РФ, обеспечивающие конфиденциальность личной информации.
В частности, ст. 86 ТК РФ дает руководителям согласие на обработку персональных данных работника только в служебных целях, которыми могут являться:
Не знаете свои права?
- оказание содействия в продвижении сотрудника по карьерной лестнице или получении им образования;
- обеспечение безопасности подчиненных;
- контроль за эффективностью труда работников.
Согласно п. 8 ст. 65 ТК РФ работодатель должен под роспись довести до работника, каким образом и в каком порядке будут храниться, обрабатываться и использоваться предоставленные им сведения. Согласие на обработку персональных данных при приеме документов от работника нужно обязательно, при этом работник предупреждается о возможности отказаться либо в дальнейшем представить отзыв согласия на обработку персональных данных, а также о последствиях этого.
Последствия отказа от дачи согласия на обработку персональных данных
Сам по себе отказ от согласия на обработку персональных данных юридических последствий не несет — в силу ч. 1 ст. 9 закона № 152-ФЗ согласие должно быть выражено добровольно и свободно.
Однако ч. 5 ст. 6 этого же закона допускает отсутствие согласия на обработку персональных данных, если это необходимо в целях исполнения договора, в том числе и трудового. Иными словами, работодатель, исполняя свои обязанности, возложенные на него законом, может в интересах работника — субъекта персональных данных обработать эти сведения без его согласия (при условии использования данных исключительно в служебных целях).
Положение ч. 5 ст. 6 закона № 152-ФЗ распространяется на уже действующих сотрудников, то есть принять соискателя на работу без его согласия на обработку персональных данных работодатель не сможет — трудового договора еще нет, соответственно, и обязанности его исполнять у руководителя тоже нет.
Кроме того, в ряде случаев отказ от согласия на обработку персональных данных всё же может привести к нежелательному результату. Например, если в организации действует пропускной режим, то выписать (заменить) сотруднику пропуск при таких обстоятельствах работодатель не сможет — это действие выходит за рамки служебных целей. Таким образом, отсутствие согласия здесь означает невозможность исполнения трудовых функций.
Ответственность за разглашение персональных данных
В силу ст. 90 ТК РФ ответственность работодателя за разглашение персональных данных варьируется от дисциплинарной до уголовной. То есть любое нарушение конфиденциальности личной информации о работнике, будь то передача сведений или неправомерное их использование, обойдется для виновного весьма суровым наказанием.
Например, в соответствии со ст. 137 Уголовного кодекса РФ, подобные действия могут стоить руководителю должности или даже свободы на срок до 2 лет.
Таким образом, законодательство содержит все необходимые инструменты для того, чтобы работники могли не опасаться за разглашение информации о себе.
Однако, прежде чем ставить подпись в форме согласия на обработку персональных данных, имеет смысл выяснить, не выходят ли запрашиваемые сведения за рамки необходимых для трудоустройства или кадровых перестановок.
Например, сведения о наличии или отсутствии судимости требуются только в тех случаях, когда это нужно для соответствия занимаемой должности. То есть, устраиваясь на работу менеджером по продажам, такие данные предоставлять не нужно. Соответственно, и согласие на обработку персональных данных такого характера тоже предоставлять не следует.
Уведомление об обработке персональных данных
Ст. 22 закона № 152-ФЗ обязывает работодателя вначале направить уведомление об обработке персональных данных в специализированный орган, которым является Роскомнадзор. Уточнить, выполнил ли руководитель это условие, можно на официальном интернет-портале службы.
Кроме того, перед тем как дать согласие на обработку персональных данных, будет нелишним удостовериться в том, что работодатель имеет на это право, то есть является оператором. В этом тоже поможет сайт Роскомнадзора.
Отзыв согласия на обработку персональных данных
Отзывать согласие на обработку персональных данных имеет смысл в 2 случаях:
- при выявлении со стороны работодателя нарушения в части хранения и обеспечения конфиденциальности информации о сотруднике;
- при увольнении.
Отзыв составляется в свободной форме, но при его оформлении стоит сослаться на 2 нормы закона № 152-ФЗ: п. 1 ст. 9, устанавливающий добровольность дачи согласия на обработку персональных данных, и п. 5 ст. 22, регламентирующий обязанность оператора (в данном случае — работодателя) прекратить обработку и уничтожить всю имеющуюся у него информацию о сотруднике.
Работодатель должен уничтожить все сведения в течение 30 дней с того момента, как работник отозвал свое согласие на обработку персональных данных.
В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
| Основание | Размер штрафа | |||
| Физлица | Должностные лица | Юрлица | ИП | |
| Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДн | предупреждение или штраф — от 1000 до 3000 руб. | предупреждение или штраф — от 5000 до 10 000 руб. |
предупреждение или штраф — от 30 000 до 50 000 руб. | |
| Обработка ПДн без письменного согласия на то их субъекта | от 3000 до 5000 руб. | от 10 000 до 20 000 руб. | от 15 000 до 75 000 руб. | |
| Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДн | от 700 до 1500 руб. | от 3000 до 6000 руб. | от 15 000 до 30 000 руб. | от 5000 до 10 000 руб. |
| Непредоставление субъекту ПДн информации по их обработке | предупреждение или штраф — от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 6000 руб. | предупреждение или штраф — от 20 000 до 40 000 руб. | предупреждение или штраф — от 10 000 до 15 000 руб. |
| Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки) | предупреждение или наложение штрафа в размере от 1000 до 2000 руб. | предупреждение или штраф — от 4000 до 10 000 руб. |
предупреждение или штраф — от 25 000 до 45 000 руб. | предупреждение или штраф — от 10 000 до 20 000 руб. |
| Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копирования | от 700 до 2000 руб. | от 4000 до 10 000 руб. |
от 25 000 до 50 000 руб. | от 10 000 до 20 000 руб. |
| Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДн | предупреждение или наложение административного штрафа — от 3000 до 6000 руб. | |||
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
- Являюсь ли я оператором персональных данных?
- Распространяется ли на меня закон о персональных данных?
- Как уведомить Роскомнадзор об обработке персональных данных?
- Что делать владельцу сайта, чтобы избежать штрафов?
Давайте разбираться со всеми вопросами по порядку.
Процесс обработки персональных данных любого гражданина прописан в Федеральном Законе № 152-ФЗ «О персональных данных». Первоначально данный закон был принят 27 июля 2006 года, и уже в последующем подвергался различным изменениям и дополнениям.
Закон «О персональных данных» регулирует отношения между государственными, муниципальными органами, физическими и юридическими лицами в сфере обработки и защиты личной информации, которые совершаются при помощи средств автоматизации или же без нее.
Цель этого закона заключается в обеспечении защиты свобод и прав граждан законными методами при обработке его личных данных, в том числе неприкосновенность частной жизни, семейной и личной тайн.
Какая организация попадает под требования Федерального закона «О персональных данных»?
Любая организация имеет возможность не регламентировать свои действия согласно главе 1 статьи 2 Федерального закона за № 152-ФЗ «О персональных данных», касающиеся обработки персональных данных, в таких случаях как:
1. Обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2. Организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3. Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
4. Предоставление уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Когда же организация не попадает под вышеуказанные пункты, она должна в обязательном порядке подчиниться требованиям закона. Все остальные случаи, относящиеся к сбору, обработке и хранению персональных данных, регламентируются согласно Федеральному закону № 152 «О персональных данных». Практически все организации попадают под данные требования, так как почти все компании тем или иным образом производят обработку персональных данных своих сотрудников или других физических лиц. При этом все личные данные должны быть строго конфиденциальны.
Для того, чтобы риск претензий от владельцев персональных данных и государственных органов был минимальным, нужно выполнить комплекс работ, которые обосновывают необходимость обработки персональных данных. Также необходимо выполнить требования обеспечения конфиденциальности и при неавтоматизированной обработке, и в случае обработки персональных данных в информационных системах.
Персональные данные — что это?
В главе 1 статье 3 ФЗ «о персональных данных» имеется определение персональных данных:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Это может быть фамилия, имя отчество, адрес места жительства и электронной почты, контактные телефоны, место пребывания, вероисповедание, семейное положение, фотографии, сведения о родственниках и многое другое. Каждая организация, которая владеет подобной информацией, обязана защищать информационные системы, в которых должны храниться такие данные.
Сбор, хранение и обработка персональных данных
При необходимости получения персональных данных сотрудника или другого физического лица организация вправе собирать ее непосредственно у самого субъекта. Если же информацию можно получить только у третьих лиц, то субъект должен быть обязательно извещен, а также обязан дать свое письменное согласие на данную процедуру. В свою очередь, оператор обязан известить гражданина о целях, которые он преследует при получении и обработке его личных данных.
Все, что касается законных оснований обработки персональной информации, прописано в главе 2 статье 6 пункте 1 № 152 Федерального закона «О персональных данных»:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Если организация осуществляет обработку персональных данных, противоречащую вышеуказанным пунктам, то это является нарушением федерального законодательства.
Организация обязана обеспечить конфиденциальность, имеющихся персональных данных согласно статье 7 Федерального закона «О персональных данных». Исключения составляют те случаи, когда персональные данные обезличены или когда они являются общедоступными.
В статье 8 указано, что могут быть общедоступные источники персональных данных. Они могут содержать фамилию, имя, отчество, страну и год рождения, адрес проживания, номер телефона, информацию о профессии или же другие персональные данные субъекта, которые он предоставляет со своего письменного согласия. К ним относятся, например, справочники или адресные книги. Данные сведения могут быть лишены доступности по решению субъекта или государственных уполномоченных органов.
Принципы и условия обработки персональных данных
В процессе обработки персональных данных каждая организация должна придерживаться принципов, которые прописаны в главе 2 статьи 5 Федерального закона «О персональных данных»:
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Условия, которые должна соблюдать организация в процессе обработки персональных данных, прописаны в статье 6 Федерального закона «О персональных данных» и заключаются в том, что оператор при осуществлении обработки персональных данных субъекта, имеет право обрабатывать их только с его письменного согласия.
Однако, в некоторых случаях такое согласие не требуется. Так, например, если обработка персональной информации производится в различных научных и статистических целях с обязательным условием обезличивания персональных данных. Или же когда обработка личных данных необходима для здоровья, жизни или других жизненно значимых интересов субъекта таких данных.
Обязанности оператора персональных данных
Глава 4 статьи 18 Федерального закона за 3 152 «О персональных данных» содержит полную информацию о том, что входит в обязанности оператора по обработке данных.
Рассматривая ключевые моменты данной статьи закона можно выделить несколько наиболее важных принципов.
Оператор обязан:
— проводить обработку персональных данных в соответствии с законом,
— иметь разрешение от владельца персональных данных в случаях предусмотренных законодательством,
— обеспечивать конфиденциальность,
— отвечать на все вопросы владельца, касающиеся его персональных данных, в поставленный законом срок,
— уничтожить персональные данные после того, как будут достигнуты сроки их обработки,
— извещать Управление Роскомнадзора на тему обработки персональных данных и о мерах, которые предпринимаются им для их защиты.
Также в данной статье говориться о том, что если владелец персональных данных отказывается предоставить персональную информацию, которую он обязан предоставить в соответствии с федеральным законом, оператор должен разъяснить владельцу о последствиях такого отказа.
Самостоятельная деятельность организаций при защите персональных данных
Сбор, обработка и защита персональных данных в Российской Федерации является лицензируемым видом деятельности. Разработка методик по защите персональной информации находится в ведении ФСБ России и ФСТЭК России.
Организация, в свою очередь, может лишь сделать часть таких работ. Например, осуществить сбор информации. Остальные работы требуют наличие лицензии на деятельность по технической защите конфиденциальной информации, а также на установку средств криптографической защиты.
Проверка деятельности по обработке персональных данных
Организация, которая проводит проверку на предмет законной обработки персональных данных, называется Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Роскомнадзор проводит государственный контроль и надзор за соблюдением требований действующего законодательства в сфере:
— СМИ, ТВР вещания и массовых коммуникаций — требования закона Российской Федерации за № 2124-1 от 27 декабря 1991 года «О средствах массовых коммуникаций», а также соблюдение лицензионных условий,
— связи — требования Федерального закона за № 126 от 7 июля 2003 года «О связи», а также подзаконных актов, в том числе действие лицензии и использование радиочастотного спектра,
— персональных данных — Федеральный закон от 27 июля 2006 года за № 152 «О персональных данных».
Правовым основанием для осуществления государственного контроля и надзора является Федеральный закон от 26 декабря 2008 года за № 294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».
Роскомнадзор проводит несколько видов проверок:
1). Плановая проверка.
Данная проверка может быть проведена на основании и в точно поставленные сроки, которые указаны в плане проверок, подготовленного Роскомнадзором и утвержденного прокуратурой. Согласно пункту 4 статьи 27 Федерального закона «О связи» такой вид проверки Роскомнадзор имеет право проводить не более чем один раз в 3 года.
В План проверок Роскомнадзора может попасть любая организация, занимающаяся обработкой персональных данных.
Основанием для проведения плановой проверки считается факт начала обработки оператором по обработке персональных данных, в том числе прохождение трех лет с момента государственной регистрации как оператора персональных данных или завершения проведения плановой проверки в отношении оператора по истечении трех лет с предыдущей плановой проверки.
2). Внеплановая проверка.
Основаниями для проведения такого вида проверки можно считать:
— проверка исполнения предписания о ликвидации выявленного нарушения, которое было выдано раньше,
— выявление нарушений обязательных требований в результате систематического наблюдения,
— требование прокурора о проведении внеплановой проверки на основании поступивших материалов и обращений в органы прокуратуры от граждан, индивидуальных предпринимателей, юридических лиц, органов государственной и муниципальной власти,
— нарушения законных прав и интересов субъектов российской Федерации вследствие бездействия операторов, занимающихся обработкой персональных данных,
— приказ руководителя Службы, который издан согласно поручениям Президента Российской Федерации или Правительства Российской Федерации.
Проверка производится в срок не более 20 рабочих дней, но в то же время, в случае серьезных причин она может быть продлена на основании приказа руководителя Управления Роскомнадзора еще на 20 дополнительных рабочих дней.
Кроме того, проверочные мероприятия могут проводиться одним из нижеперечисленных методов:
а) выездные, т. е. проверка проходит по месту нахождения проверяемого.
б) документарные, письменный запрос оператора о предоставлении необходимых документов и информации. Если документы не были предоставлены, а предоставление их должно производится по закону в обязательном порядке, то это влечет за собой наложение штрафа. Если же административный штраф не был уплачен, он может быть увеличен в два раза.
в) систематическое наблюдение, производится без взаимодействия с лицом, которое проверяют, также от проверяемого лица не требуют никаких документов и информации. Государственные специалисты-инспекторы территориального Управления Роскомнадзора делают выводы о деятельности проверяемого, основываясь на его действия в отношении неопределенного круга субъектов.
Ответственность за незаконную обработку персональных данных
Оператор не должен допускать сбор, хранение, использование и распространение информации, касающейся личной и семейной жизни, тайной переписки, телеграфных, почтовых или иных сообщений, телефонных переговоров, если на то нет судебного решения или законного основания для этих действий.
Оператор не имеет права использовать персональные данные с целью причинения морального и имущественного ущерба гражданам, а также затруднения реализации их свобод и прав. Более того, оператор персональных данных не имеет права ограничивать права граждан Российской Федерации, используя при этом их персональную информацию, касающуюся национальной, расовой, религиозной, языковой или партийной принадлежностей.
Физические и юридические лица, которые в соответствии со своими полномочиями, владеют какой-либо частной информацией о гражданах, используют ее, нарушая при этом Федеральный закон «О персональных данных» несут ответственность за данное деяние согласно действующему законодательству Российской Федерации.
Те лица, которые своими действиями нарушили Федеральный закон «О персональных данных» несут гражданскую, административную, дисциплинарную, уголовную или иную ответственность, предусмотренную действующим законодательством Российской Федерации.
Кодекс об Административных Нарушениях (КоАП):
А) статья 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Данная статья влечет за собой предупреждение или же наложение административного штрафа на:
— граждан в размере от 300-500 рублей,
— должностных лиц в размере от 500-1000 рублей,
— юридических лиц в размере от 5000-10000 рублей.
Б) статья 13.12 Нарушение правил защиты информации.
Согласно этой статье административный штраф возлагается на нарушителей закона в размере от 500 до 30 тысяч рублей. Кроме того, к юридическим лицам может быть применена конфискация или административное приостановление деятельности сроком на 3 месяца.
В) статья 13.14 Разглашение информации с ограниченным доступом.
В соответствии с данной статьей возможно наложение административного штрафа на:
— граждан в размере от 4 до 5 тысяч рублей.
Г) статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль).
Нарушителям этой статьи грозит административный штраф в размере от 300 рублей до 500 тысяч рублей, или же дисквалификация сроком до 3 лет.
Уголовный кодекс (УК).
Статья 137 Нарушение неприкосновенности частной жизни.
В этой статье говорится о том, что за незаконное собирание или распространение информации о частной жизни субъекта, которая является его семейной или личной тайной, без его на то согласия или же распространение такой информации посредством средств массовой информации несет за собой ответственность в виде
— штрафа размером до 200 тысяч рублей или же в размере равном заработной плате за 18 месяцев,
— обязательных работ сроком до 360 часов
— исправительных работ сроком до 1 года,
— принудительных работ сроком до 2 лет,
— запрета заниматься определенной деятельностью сроком до 3 лет,
— ареста сроком до 2 лет.
Трудовой кодекс (ТК).
Статья 90 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
Данная статья предусматривает наказание в виде увольнения или же возможности наказания согласно Уголовному кодексу Российской Федерации.
Требования к защите персональных данных
В соответствии со статьей 19 Федерального закона «О персональных данных» требования к защите персональной информации считаются обязательными. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
С целью достижения вышеобозначенных целей, все организации которые осуществляют обработку персональных данных, должны придерживаться следующих требований:
— выполнять требования Федерального закона за № 152 «О персональных данных», обеспечив при этом все необходимые доказательства законности сбора и обработки персональной информации,
— обеспечивать защиту от несанкционированного распространения персональных данных,
— разрабатывать нормативные локальные акты и техническую организационную документацию, для обеспечения регламентированной обработки персональных данных,
— уведомлять Управление Роскомнадзора.
Для того, чтобы выполнять эти требования нужно выполнить следующие работы:
1. Провести изучение процессов сбора и обработки персональной информации в компании. А именно, в каком месте, и каком виде они обрабатываются, в каком месте хранятся, кто отвечает за это и имеет к ним доступ, что за источник персональных данных и тому подобные вопросы. Необходимо собрать полную информацию о всех процессах, связанных с личными данными.
2. Нужно разработать пакет документов, которые относятся к процессу обработки персональных данных, а именно
А. Акт категорирования,
Б. Концепция создания системы защиты персональных данных,
В. Модель угроз,
Г. Модель нарушителя,
Д. Техническое задание на построение системы защиты персональных данных,
Е. Технический проект (пояснительную записку технического проекта) по построению системы защиты персональных данных,
Ж. Организационно распорядительная документация.
В общем, количество документов в средней организации составляет около 80 штук, в том числе журналы учета и приказы.
3. Внедрить в организации технические средства защиты, согласно разработанной документации.
4. Провести оценку соответствия или же аттестацию информационных систем.
Аттестация и оценка являются специальными установленными документами, благодаря которым организация имеет возможность подтвердить то, что она выполняет все требования действующего законодательства Российской Федерации.
Основанием для разработки утвержденных документов операторов персональных данных является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК) и Федеральная служба безопасности Российской Федерации (ФСБ), что прописано в их нормативных методических документах и приказах.
Одним из таких документов является:
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 года за № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
В данном приказе для всех организаций прописаны такие методы и способы защиты персональных данных от несанкционированного доступа как,
— реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
— ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
— учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
— резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
— использование защищенных каналов связи;
— размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
— организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
Основные методы и способы защиты данных от несанкционированного доступа в случае взаимодействия информационно-телекоммуникационных сетей международного информационного обмена и информационных систем включают:
— межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
— обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
— анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
— защита информации при ее передаче по каналам связи;
— использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
— использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы;
— фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
— периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
— активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
— анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
— использование атрибутов безопасности;
— создание канала связи, обеспечивающего защиту передаваемой информации;
— осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
В дополнительные требования для организаций включены:
— создание канала связи, обеспечивающего защиту передаваемой информации;
— аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
— обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
— обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
Теги: ПДн 152-ФЗ
Комментарий к статье 88
1. По общему правилу персональные данные работника не могут быть переданы третьей стороне. Исключением из данного правила являются: 1) выдача работником письменного согласия на передачу персональных данных третьей стороне; 2) передача персональных данных работника в целях предупреждения угрозы жизни и здоровью самого работника; 3) случаи, установленные федеральным законом.
2. При определении допустимости выдачи работником работодателю письменного согласия на передачу персональных данных третьей стороне следует руководствоваться установленным Конституцией РФ и п. 9 ст. 86 ТК запретом на отказ со стороны работника от своего права на неприкосновенность частной жизни, личную и семейную тайну. О содержании такого согласия см. п. 3 комментария к ст. 86.
3. Получателями персональных данных работника на законном основании являются:
Фонд социального страхования Российской Федерации;
Пенсионный фонд Российской Федерации;
Налоговые органы;
Федеральная инспекция труда;
Иные органы государственного надзора и контроля за соблюдением законодательства о труде;
Органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.
В соответствии со ст. 5 Федерального закона от 24 июля 1998 г. N 125-ФЗ "Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний" физические лица, выполняющие работу на основании трудового договора, подлежат обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний. Пункт 7 ст. 17 данного Закона обязывает работодателя собирать и представлять за свой счет страховщику в установленные страховщиком сроки документы, являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.
Работодатель обязан предоставить в соответствующий орган Пенсионного фонда РФ сведения обо всех лицах, работающих у него по трудовому договору. Эти сведения могут предоставляться как в виде документов в письменной форме, так и в электронной форме (на магнитных носителях или по каналам связи) при наличии гарантий их достоверности и защиты от несанкционированного доступа и искажений. Вопрос о возможности предоставления информации в электронной форме решается Пенсионным фондом РФ совместно с конкретными работодателями (ст. 8 Федерального закона от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования").
Выступая в качестве налогового агента работников, исчисляющего, удерживающего из средств, выплачиваемых работникам, и перечисляющего в бюджет соответствующие налоги, работодатель обязан представлять в налоговый орган по месту своего учета документы, необходимые для осуществления контроля за правильностью исчисления, удержания и перечисления налогов (ст. 24 Налогового кодекса РФ).
В соответствии со ст. 357 ТК государственные инспекторы труда при осуществлении надзорно-контрольной деятельности имеют право запрашивать у работодателей и безвозмездно получать от них документы и информацию, необходимую для выполнения надзорных и контрольных функций, включая персональные данные работников.
Информация о групповом несчастном случае на производстве, тяжелом несчастном случае на производстве, несчастном случае на производстве со смертельным исходом должна быть направлена работодателем в организации, поименованные в ст. 228.1 ТК.
В соответствии с ч. 5 ст. 20 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом РФ или Правительством РФ, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих, а сведения о доходах, имуществе и обязательствах имущественного характера соответствующих гражданских служащих субъекта РФ предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.
4. В современных условиях работодатель зачастую предоставляет своим потенциальным или действительным контрагентам информацию о занятых у него работниках с целью заключения нового или продления действия уже заключенного договора. Комментируемая статья допускает передачу персональных данных работника в коммерческих интересах работодателя, но ограничивает такую передачу исключительно теми случаями, когда работник дает письменное согласие на сообщение персональных данных конкретному третьему лицу в письменной форме. Выдача согласия на передачу персональных данных работника неопределенному кругу третьих лиц или без ограничения сроков такой передачи не порождает правовых последствий и не может служить основанием для передачи персональных данных работника.
5. Поскольку персональные данные относятся к категории конфиденциальной информации, любые лица, обладающие данной информацией, обязаны соблюдать специальный режим использования и защиты персональных данных работников. Так, лица, получившие персональные данные работника на законном основании, обязаны использовать их исключительно в целях, которые заявлялись при запросе соответствующей информации, а также не разглашать такую информацию. Исключения из данного правила определяются только федеральными законами. Необходимость дальнейшей передачи персональных данных работников может, в частности, вытекать из законодательства об административных правонарушениях, уголовного процессуального законодательства. Например, протокол об административном правонарушении, в котором могут содержаться персональные данные работника, в том случае, когда лицо, его составившее, не имеет права рассматривать дело об административном правонарушении, передается соответствующему лицу, в течение суток с момента составления протокола (ст. 28.8 КоАП РФ).
Работодатель, передающий персональные данные работника третьим лицам, вправе потребовать от этих лиц строго целевого использования этих данных и представления доказательств соблюдения данного правила. Форма такого требования определяется работодателем самостоятельно, а форма представления доказательств исполнения третьим лицом своей обязанности по сохранению конфиденциальности персональных данных - по соглашению сторон.
6. В деятельности любого работодателя неизбежно возникает необходимость периодической передачи персональных данных работника от одного структурного подразделения (работника) к другому. Так, информация о новом работнике или об изменении персональных данных передается кадровой службой в бухгалтерию или в службу безопасности. Такая передача осуществляется в порядке, установленном локальным нормативным актом. Установление обязанности ознакомить работника с таким актом под роспись способствует прозрачности работы по обработке персональных данных и способствует более полной реализации права человека на охрану неприкосновенности его личной жизни.
О локальных нормативных актах см. подробнее ст. 8 ТК и комментарий к ней.
7. Доступ к персональным данным работников в процессе их обработки ограничивается кругом лиц, для которых обработка соответствующих данных является одной из должностных обязанностей (сотрудники кадровых, бухгалтерских и иных служб). Право доступа к персональным данным работников предоставлено также лицам, осуществляющим функции надзора и контроля за соблюдением работодателями законодательства о труде, а также лицам, контролирующим правильность исполнения работодателем обязанностей как налогового агента работника или страхователя в системе обязательного государственного страхования. Подробнее о лицах, осуществляющих функции надзора и контроля за соблюдением работодателями законодательства о труде, см. ст. ст. 357, 366 - 369 ТК и комментарий к ним.
Следует отметить, что установленное комментируемой статьей правило о получении данными лицами только тех персональных данных, которые им необходимы для выполнения конкретных функций, трудно реализуемы на практике. Персональные данные работника собираются в его личном деле, не подлежат дроблению и в принципе доступны для ознакомления лицом, осуществляющим надзорно-контрольные функции в полном объеме. Исполнить требования закона возможно при четкой работе с лицами, осуществляющими функции надзора и контроля за соблюдением законодательства о труде, теми работниками, занятыми у конкретного работодателя, трудовой функцией которых является работа с персональными данными.
При передаче персональных данных внутри организации в соответствующее структурное подразделение (работнику) должна передаваться часть персональных данных, необходимая конкретному структурному подразделению (работнику) для исполнения своих функций.
8. Информация о состоянии здоровья гражданина составляет врачебную тайну. В соответствии со ст. 61 Основ законодательства об охране здоровья граждан от 22 июля 1993 г. передача сведений, составляющих врачебную тайну, работодателю допускается с согласия гражданина или его законного представителя. Исключение составляют случаи, когда информация о состоянии здоровья работника передается работодателю при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений или при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий. Информация о состоянии психического здоровья гражданина может передаваться работодателю лишь в случаях, установленных федеральными законами (ст. 8 Закона РФ от 2 июля 1992 г. N 3185-1 "О психиатрической помощи и гарантиях прав граждан при ее оказании").
