Защита персональных данных физического лица в рф при обработке — что это такое, какие права субъектов есть и меры, используемые против утечки информации?

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее — ПДн) — это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. «О персональных данных»).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

• своевременного обнаружения несанкционированного доступа к ПДн;
• недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
• возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
• постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

• свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
• определение личного представителя для защиты своих персональных данных;
• получение полной информации о ПДн и их обработке;
• выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
• обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

• штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
• исполнительных работ на срок до 12 месяцев;
• ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

• штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
• лишения права занимать определенные должности на срок от 2 до 5 лет;
• ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Защита персональных данных гражданина – что нужно знать?

Правовая инструкция 9111.ru расскажет, какая информация о гражданине приравнивается к персональным данным, в каких случаях необходимо получение согласия гражданина на их обработку и что считается нарушением закона о персональных данных.

Что является персональными данными и как они охраняются?

Персональными данными является любая информация, так или иначе относящаяся определенному или определяемому физическому лицу (субъекту персональных данных) (ст.3 Федералного закона «О персональных данных»).

Закон содержит условие о необходимости получения согласия на их обработку, случаи, когда такое согласие не требуется, определяет порядок обработки. Органом, осуществляющим надзор за соблюдением надзор в области защиты прав субъектов персональных данных, является Роскомнадзор.

Организацией сбора персональных данных и самим сбором, а также определением цели обработки, состава данных, действий, которые будут с ними производиться, вправе заниматься оператор. Оператором может быть физическое и юридическое лицо, государственные и муниципальные органы. В соответствии с ч. 1 ст.

Согласие на обработку персональных данных должно даваться в любой форме, позволяющей подтвердить факт его получения. Требования к содержанию согласия в письменной форме содержатся в ст. 9 Закона.

Обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора (ст.15 Закона). При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина согласие считается полученным, если подтверждается наличием файла электронной цифровой подписи.

Если предложение о продаже товара является публичной офертой, согласие на обработку возникает в момент заполнения заявки на покупку товара.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством РФ не установлено (Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»). Гражданин вправе отозвать согласие на обработку данных.

Как вернуть деньги, потерянные из-за ошибки банка?

Когда могут возникать споры по использованию персональных данных?

Часто споры о правомерности использования персональных данных возникают в связи с их передачей банками коллекторским агентствам, обработкой коммунальными службами, при изменении способа управления в конкретном МКД, когда одна управляющая компания передает сведения о жильцах другой, и т.д.

В ходе прокурорских проверок в порядке надзора соблюдения законодательства в области персональных данных работодателей могут обязать принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников, поскольку его отсутствие может привести к неправомерному доступу к ним не уполномоченных лиц.

Во всех случаях, когда организация осуществляет сбор персональных данных, в том числе с использованием сети интернет, должен быть принят документ, определяющий ее политику в отношении обработки персональных данных (см., напр.

, Постановление Мирового судьи судебного участка № 2 судебного района города Салехард Ямало-Ненецкого АО от 13 мая 2016 года по делу № 2-599 (2)/2016).

Что считается нарушением закона о персональных данных?

Статья 24 Федерального закона «О персональных данных» определяет ответственность, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности за совершение следующих действий:

• неправомерный отказ в предоставлении либо несвоевременное предоставление гражданину собранных в установленном порядке документов, материалов, иной информации, либо ее предоставление в неполном или недостоверном виде (ст. 5.39 КоАП РФ);
• нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
• разглашение информации, доступ к которой ограничен федеральным законом (если не влечет уголовную ответственность) (ст. 13.14 КоАП);
• непредставление или несвоевременное представление гражданином сведений согласно закону или для целей осуществления государственным органом его деятельности, а равно представление таких сведений в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ);
• незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации по ст. 137, 272 УК РФ ( Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Если при обработке персональных данных организацией нарушаются права субъекта, он вправе обратиться в ближайшее территориальное управление Роскомнадзора. При разглашении персональных данных гражданин вправе обратиться в прокуратуру с просьбой провести проверку и решить вопрос о привлечении ответственности.

Пошлина на интернет-покупки – сколько придется переплатить?

Когда не требуется согласие на обработку персональных данных?

Согласие субъекта персональных данных на их обработку не требуется в следующих случаях:

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов гражданина (п.6 ч.1 ст.6 Закона);
• лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных, однако поручение может быть осуществлено только с согласия гражданина (ч.ч. 3, 4 ст.6 Закона);
• обработка биометрических персональных данных может осуществляться без согласия субъекта на основании ч.2 ст.11 Закона.

Также в случаях, предусмотренных ч.2 ст. 22 Закона оператор не обязан уведомлять Роскомнадзор о проводимой им обработке персональных данных.

Источник: https://www.9111.ru/questions/777777777220832/

Защита персональных данных в РФ | Как обеспечивается защита персональных данных в РФ

Указание на то, что защите информации о физическом лице необходимо уделять должное внимание, можно найти в Конституции РФ.

Норма, согласно которой сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается содержится в Статье 24 фундаментального документа.

В Российской Федерации уже заложена основа безопасности персональных сведений, однако разработка и внедрение комплексного подхода к ее обеспечению продолжается. В идеале в стране должна быть создана правовая система, которая объединяет требования законодательства РФ к хранению, обработке и передаче персональных данных граждан.

Какие данные определены законодательством Российской Федерации как персональные?

Российское законодательство включает несколько категорий персональных данных. Среди них:

1. Общедоступные ПДн – данные, которые не подпадают под условия конфиденциальности и с согласия субъекта РФ могут стать общедоступными (справочники, адресные книги и т.д.). При этом суд или субъект персональных данных могут потребовать исключить эти сведения из открытых источников.

2. Специальные ПДн – данные, которые касаются национальной и расовой принадлежности, состояния здоровья, философских и религиозных убеждений, политических взглядов.

Обработка такой информации возможна только при наличии письменного согласия субъекта.

Согласие, однако не требуется, если его невозможно получить в связи с состоянием здоровья человека, либо в случае обработки данных в целях оперативно-розыскной деятельности.

3. Биометрические персональные данные – сведения о физиологических особенностях личности, которые позволяют идентифицировать человека. Например, фото- и видеоизображения людей. Для их обработки обязательно получать письменное согласие субъекта ПДн (исключение – оперативно-розыскная деятельность).

Можно выделить и ПДн, которые обрабатываются с использованием информационных систем персональных данных (баз данных). В зависимости от того, какие данные содержатся в базе, ИСПД присваивается одна из четырех категорий:

• категория 4 – ИС, содержащая обезличенные и (или) общедоступные персональные данные;
• категория 3 – база с ПДн, по которым можно идентифицировать личность субъекта;
• категория 2 – ИС, в которой собраны ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию (кроме ПДн, относящихся к категории 1);
• категория 1 – база с данными человека, которые раскрывают его расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь.

Персональные данные в нормативно-правовых актах

Вопрос защиты персональных данных различных категорий и порядок работы с ними определен в следующих нормативно-правовых актах:

• Федеральный закон «Об информации, информатизации и защите информации»;
• Федеральный закон «О персональных данных»;
• Глава 14 Трудового кодекса РФ.

ПДн в законе «Об информации»

В тексте настоящего федерального закона больше внимания уделено порядку работы с биометрическими данными граждан, а также работе с данными в информационных системах.

Основные моменты закона:

• В процессе обработки биометрических персональных данных государственные органы, банки и иные организации должны руководствоваться нормами закона «О персональных данных».
• Контроль и надзор за безопасностью обработки биометрических ПДн осуществляет федеральный уполномоченный орган.
• В случае нарушения прав субъектов персональных данных в части размещения информации о них в открытой форме, обнародование должно быть прекращено по решению суда.

Закон «О персональных данных»

Этот документ, принятый 25 июля 2006 года, наиболее полно отражает порядок работы с ПДн, а также определяет меры ответственности за нарушение законодательства.

Основные понятия закона:

• Персональные данные, к которым относится любая информация, имеющая прямое или косвенное отношение к определенному или определяемому физическому лицу (субъекту персональных данных).
• Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.
• Обработка ПДн – любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Главное условие работы операторов с ПДн, согласно закону, четко определять цели обработки данных и использовать данные только в очерченных рамках. Причем хранение данных оператор обязан осуществлять в пределах срока их обработки, т.е. по достижении цели ПДн необходимо удалять, если срок хранения не установлен иными законодательными актами и договорами.

ПДн в Трудовом кодексе РФ

Порядок обработки персональных данных работников регламентирует глава 14 ТК РФ. К ПДн работника гражданское законодательство относит общие сведения о физическом лице, которые необходимы работодателю в связи с возникновением трудовых правоотношений. К ним относятся:

• фото работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности;
• приказы или распоряжения о приеме на работу, поощрении, увольнении, личная карточка, документы по оплате труда.

При этом в статье 86 указано, что каждый работник имеет право на защиту своих данных. Данное право предусматривает:

• наличие свободного доступа работника к личным данным;
• получение полной информации об обработке ПДн;
• возможность вносить правки в ПДн, если они содержат ошибочную информацию или обработаны с нарушением законодательства;
• возможность обжаловать в суде неправомерные действия или бездействие работодателя по защите прав субъекта ПДн.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

• Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
• Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
• Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
• Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

• предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
• предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
• клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

1. Уведомление об обработке ПДн (для Роскомнадзора).
2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
3. Согласие субъекта на обработку его персональных данных.

4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).

5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
6. Документы по организации приема и обработки обращений и запросов субъектов.

7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

В среднем пакет документов включает порядка 30 различных приказов, положений и правил.

Количество и содержание документов во многом зависит от сферы деятельности организации. Например, производственному предприятию с пропускной системой потребуется документ с требованиями к ведению журналов для однократного пропуска субъекта на территорию. А интернет-магазину такой документ ни к чему.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
4. Разграничить права доступа к ПДн в ИС.   

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

• средства защиты от несанкционированного доступа;
• антивирусные программы;
• межсетевые экраны;
• криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России. Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн.

То есть и документальную, и техническую части необходимо периодически актуализировать.

Ответственность за нарушение законодательства в области ПДн

Оператор обязан защищать личную информацию о гражданах от следующих угроз:

• неправомерного или случайного доступа;
• уничтожения;
• изменения;
• блокирования;
• копирования;
• распространения.

Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.

Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:

• гражданско-правовую;
• дисциплинарную;
• материальную;
• административную;
• уголовную.

Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.

Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.

В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.

• Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.
• Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей – для физических лиц; от 5 000 до 10 000 рублей – для должностных лиц, от 20 000 до 50 000 рублей – для юридических лиц.
• А за распространение охраняемой законом информации на рабочем месте – штраф в размере от 500 до 1 000 рублей – для физических лиц, от 4 000 до 5 000 рублей – для должностных лиц.
• Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:

• штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;
• обязательные работы на срок от 120 до 180 часов;
• исполнительные работы на срок до 12 месяцев;
• арест на срок до 4-х месяцев.

Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:

• штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;
• лишение права занимать определенные должности на срок от 2 до 5 лет;
• арест на срок от 4 до 6 месяцев.

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными.

В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону.

Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.  

Полномочия Роскомнадзора:

• может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
• может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
• может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
• наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
• рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2017 год составила 4 068 500 рублей.

Проверки ФСТЭК и ФСБ

Закон «О персональных данных» устанавливает меры по обеспечению безопасности при обработке персональной информации. Соответствие информационной системы предприятия этим требованиям контролируют ФСТЭК и ФСБ. На практике они зачастую проверяют только организации, которые используют государственные информационные системы.

Проверки ФСТЭК и ФСБ могут быть плановыми и внеплановыми. При этом инспекторы обоих органов обращают внимание на одни и те же вещи, но рассматривают их под разными углами. К примеру, проверяют, какие организационные меры для защиты данных приняты в организации, исходя из требований ФСТЭК и ФСБ соответственно.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/mezhdunarodnaya-sistema-zashchity-personalnyh-dannyh/v-rf/

Меры по защите персональных даных сотрудников

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
• • утверждение перечня документов, содержащих персональные данные;
• • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
• • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
• • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
• • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
• • утверждение порядка уничтожения информации;
• • выявление и устранение нарушений требований по защите персональных данных;
• • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
• Среди мер по внешней защите персональных данных следует выделить такие:
• • введение пропускного режима, порядка приема и учета посетителей;
• • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
• Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
• • общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
• •  список лиц, обрабатывающих персональные данные;
• • приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: https://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

Защита персональных данных — это… Что такое Защита персональных данных?

• Обработка персональных данных —   любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… …   Википедия
• Субъект персональных данных — Субъект персональных данных  физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных …   Википедия
• Оператор персональных данных — (согласно закону РФ «О персональных данных»)  государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… …   Википедия
• Уничтожение персональных данных — Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение …   Википедия
• Федеральный закон «О персональных данных» — Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ …   Википедия
• Согласие на обработку персональных данных — Эта статья предлагается к удалению. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/29 августа 2012. Пока процесс обсужден …   Википедия
• ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ГАРАНТИИ ИХ ЗАЩИТЫ — согласно Трудовому кодексу Российской Федерации от 30.12.2001 № 197 ФЗ, заключаются в следующем: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых… …   Делопроизводство и архивное дело в терминах и определениях
• информационная система персональных данных — информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… …   Словарь-справочник терминов нормативно-технической документации
• ЗАЩИТА ДАННЫХ — (data protection) Система защиты персональной информации в Великобритании, то есть информации личного характера об отдельных людях, хранящейся в компьютерах. Принципы защиты данных, ответственность тех, кто пользуется этой информацией, и права… …   Словарь бизнес-терминов
• ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

Источник: https://med.academic.ru/dic.nsf/ruwiki/1302895