Защита персональных данных физического лица в рф при обработке — что это такое, какие права субъектов есть и меры, используемые против утечки информации?

Защита персональных данных физического лица в РФ при обработке - что это такое, какие права субъектов есть и меры, используемые против утечки информации? Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Персональные данные (далее — ПДн) — это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. «О персональных данных»).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Защита персональных данных гражданина – что нужно знать?

Защита персональных данных физического лица в РФ при обработке - что это такое, какие права субъектов есть и меры, используемые против утечки информации?

Правовая инструкция 9111.ru расскажет, какая информация о гражданине приравнивается к персональным данным, в каких случаях необходимо получение согласия гражданина на их обработку и что считается нарушением закона о персональных данных.

Что является персональными данными и как они охраняются?

Персональными данными является любая информация, так или иначе относящаяся определенному или определяемому физическому лицу (субъекту персональных данных) (ст.3 Федералного закона «О персональных данных»).

Закон содержит условие о необходимости получения согласия на их обработку, случаи, когда такое согласие не требуется, определяет порядок обработки. Органом, осуществляющим надзор за соблюдением надзор в области защиты прав субъектов персональных данных, является Роскомнадзор.

Организацией сбора персональных данных и самим сбором, а также определением цели обработки, состава данных, действий, которые будут с ними производиться, вправе заниматься оператор. Оператором может быть физическое и юридическое лицо, государственные и муниципальные органы. В соответствии с ч. 1 ст.

22 Федерального закона «О персональных данных», оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных.

Согласие на обработку персональных данных должно даваться в любой форме, позволяющей подтвердить факт его получения. Требования к содержанию согласия в письменной форме содержатся в ст. 9 Закона.

Обязанность предоставить доказательство получения согласия субъекта персональных данных возлагается на оператора (ст.15 Закона). При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина согласие считается полученным, если подтверждается наличием файла электронной цифровой подписи.

Если предложение о продаже товара является публичной офертой, согласие на обработку возникает в момент заполнения заявки на покупку товара.

Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством РФ не установлено (Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»). Гражданин вправе отозвать согласие на обработку данных.

Как вернуть деньги, потерянные из-за ошибки банка?

Когда могут возникать споры по использованию персональных данных?

Часто споры о правомерности использования персональных данных возникают в связи с их передачей банками коллекторским агентствам, обработкой коммунальными службами, при изменении способа управления в конкретном МКД, когда одна управляющая компания передает сведения о жильцах другой, и т.д.

В ходе прокурорских проверок в порядке надзора соблюдения законодательства в области персональных данных работодателей могут обязать принять локальный правовой акт, устанавливающий порядок хранения и использования персональных данных работников, поскольку его отсутствие может привести к неправомерному доступу к ним не уполномоченных лиц.

Читайте также:  Как рассчитать прибыль от продаж и увеличить показатель

Во всех случаях, когда организация осуществляет сбор персональных данных, в том числе с использованием сети интернет, должен быть принят документ, определяющий ее политику в отношении обработки персональных данных (см., напр.

, Постановление Мирового судьи судебного участка № 2 судебного района города Салехард Ямало-Ненецкого АО от 13 мая 2016 года по делу № 2-599 (2)/2016).

Что считается нарушением закона о персональных данных?

Статья 24 Федерального закона «О персональных данных» определяет ответственность, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности за совершение следующих действий:

  • неправомерный отказ в предоставлении либо несвоевременное предоставление гражданину собранных в установленном порядке документов, материалов, иной информации, либо ее предоставление в неполном или недостоверном виде (ст. 5.39 КоАП РФ);
  • нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);
  • разглашение информации, доступ к которой ограничен федеральным законом (если не влечет уголовную ответственность) (ст. 13.14 КоАП);
  • непредставление или несвоевременное представление гражданином сведений согласно закону или для целей осуществления государственным органом его деятельности, а равно представление таких сведений в неполном объеме или в искаженном виде (ст. 19.7 КоАП РФ);
  • незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации по ст. 137, 272 УК РФ ( Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Если при обработке персональных данных организацией нарушаются права субъекта, он вправе обратиться в ближайшее территориальное управление Роскомнадзора. При разглашении персональных данных гражданин вправе обратиться в прокуратуру с просьбой провести проверку и решить вопрос о привлечении ответственности.

Пошлина на интернет-покупки – сколько придется переплатить?

Когда не требуется согласие на обработку персональных данных?

Согласие субъекта персональных данных на их обработку не требуется в следующих случаях:

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов гражданина (п.6 ч.1 ст.6 Закона);
  • лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных, однако поручение может быть осуществлено только с согласия гражданина (ч.ч. 3, 4 ст.6 Закона);
  • обработка биометрических персональных данных может осуществляться без согласия субъекта на основании ч.2 ст.11 Закона.

Также в случаях, предусмотренных ч.2 ст. 22 Закона оператор не обязан уведомлять Роскомнадзор о проводимой им обработке персональных данных.

Источник: https://www.9111.ru/questions/777777777220832/

Защита персональных данных в РФ | Как обеспечивается защита персональных данных в РФ

Указание на то, что защите информации о физическом лице необходимо уделять должное внимание, можно найти в Конституции РФ.

Норма, согласно которой сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается содержится в Статье 24 фундаментального документа.

Меры защиты персональных данных подробно расписаны во множестве уточняющих это утверждение правовых актов.

В Российской Федерации уже заложена основа безопасности персональных сведений, однако разработка и внедрение комплексного подхода к ее обеспечению продолжается. В идеале в стране должна быть создана правовая система, которая объединяет требования законодательства РФ к хранению, обработке и передаче персональных данных граждан.

Какие данные определены законодательством Российской Федерации как персональные?

Российское законодательство включает несколько категорий персональных данных. Среди них:

1. Общедоступные ПДн – данные, которые не подпадают под условия конфиденциальности и с согласия субъекта РФ могут стать общедоступными (справочники, адресные книги и т.д.). При этом суд или субъект персональных данных могут потребовать исключить эти сведения из открытых источников.

2. Специальные ПДн – данные, которые касаются национальной и расовой принадлежности, состояния здоровья, философских и религиозных убеждений, политических взглядов.

Обработка такой информации возможна только при наличии письменного согласия субъекта.

Согласие, однако не требуется, если его невозможно получить в связи с состоянием здоровья человека, либо в случае обработки данных в целях оперативно-розыскной деятельности.

3. Биометрические персональные данные – сведения о физиологических особенностях личности, которые позволяют идентифицировать человека. Например, фото- и видеоизображения людей. Для их обработки обязательно получать письменное согласие субъекта ПДн (исключение – оперативно-розыскная деятельность).

Можно выделить и ПДн, которые обрабатываются с использованием информационных систем персональных данных (баз данных). В зависимости от того, какие данные содержатся в базе, ИСПД присваивается одна из четырех категорий:

  • категория 4 – ИС, содержащая обезличенные и (или) общедоступные персональные данные;
  • категория 3 – база с ПДн, по которым можно идентифицировать личность субъекта;
  • категория 2 – ИС, в которой собраны ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию (кроме ПДн, относящихся к категории 1);
  • категория 1 – база с данными человека, которые раскрывают его расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь.

Персональные данные в нормативно-правовых актах

Вопрос защиты персональных данных различных категорий и порядок работы с ними определен в следующих нормативно-правовых актах:

  • Федеральный закон «Об информации, информатизации и защите информации»;
  • Федеральный закон «О персональных данных»;
  • Глава 14 Трудового кодекса РФ.

ПДн в законе «Об информации»

В тексте настоящего федерального закона больше внимания уделено порядку работы с биометрическими данными граждан, а также работе с данными в информационных системах.

Основные моменты закона:

  • В процессе обработки биометрических персональных данных государственные органы, банки и иные организации должны руководствоваться нормами закона «О персональных данных».
  • Контроль и надзор за безопасностью обработки биометрических ПДн осуществляет федеральный уполномоченный орган.
  • В случае нарушения прав субъектов персональных данных в части размещения информации о них в открытой форме, обнародование должно быть прекращено по решению суда.

Закон «О персональных данных»

Этот документ, принятый 25 июля 2006 года, наиболее полно отражает порядок работы с ПДн, а также определяет меры ответственности за нарушение законодательства.

Основные понятия закона:

  • Персональные данные, к которым относится любая информация, имеющая прямое или косвенное отношение к определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных.
  • Обработка ПДн – любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.

Главное условие работы операторов с ПДн, согласно закону, четко определять цели обработки данных и использовать данные только в очерченных рамках. Причем хранение данных оператор обязан осуществлять в пределах срока их обработки, т.е. по достижении цели ПДн необходимо удалять, если срок хранения не установлен иными законодательными актами и договорами.

ПДн в Трудовом кодексе РФ

Порядок обработки персональных данных работников регламентирует глава 14 ТК РФ. К ПДн работника гражданское законодательство относит общие сведения о физическом лице, которые необходимы работодателю в связи с возникновением трудовых правоотношений. К ним относятся:

  • фото работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности;
  • приказы или распоряжения о приеме на работу, поощрении, увольнении, личная карточка, документы по оплате труда.

При этом в статье 86 указано, что каждый работник имеет право на защиту своих данных. Данное право предусматривает:

  • наличие свободного доступа работника к личным данным;
  • получение полной информации об обработке ПДн;
  • возможность вносить правки в ПДн, если они содержат ошибочную информацию или обработаны с нарушением законодательства;
  • возможность обжаловать в суде неправомерные действия или бездействие работодателя по защите прав субъекта ПДн.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

  • Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
  • Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
  • Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
  • Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

  • предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
  • предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
  • клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

  1. Уведомление об обработке ПДн (для Роскомнадзора).
  2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
  3. Согласие субъекта на обработку его персональных данных.

  4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).

  5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
  6. Документы по организации приема и обработки обращений и запросов субъектов.

  7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

В среднем пакет документов включает порядка 30 различных приказов, положений и правил.

Количество и содержание документов во многом зависит от сферы деятельности организации. Например, производственному предприятию с пропускной системой потребуется документ с требованиями к ведению журналов для однократного пропуска субъекта на территорию. А интернет-магазину такой документ ни к чему.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

  1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
  2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
  3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
  4. Разграничить права доступа к ПДн в ИС.   
Читайте также:  Отзыв согласия на обработку персональных данных, в том числе у работодателя: что это такое, каковы порядок процедуры и юридические последствия отказа?

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

  • средства защиты от несанкционированного доступа;
  • антивирусные программы;
  • межсетевые экраны;
  • криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России. Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн.

При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах.

То есть и документальную, и техническую части необходимо периодически актуализировать.

Ответственность за нарушение законодательства в области ПДн

Оператор обязан защищать личную информацию о гражданах от следующих угроз:

  • неправомерного или случайного доступа;
  • уничтожения;
  • изменения;
  • блокирования;
  • копирования;
  • распространения.

Любые неправомерные действия с данными могут повлечь за собой ответственность оператора, который отвечает за их сохранность по закону.

Персональные данные граждан РФ защищены действующим законодательством, которое предусматривает несколько видов ответственности за нарушение требований законов в области защиты персональной информации:

  • гражданско-правовую;
  • дисциплинарную;
  • материальную;
  • административную;
  • уголовную.

Причем, некоторые санкции действуют в отношении физических, юридических и должностных лиц.

Гражданско-правовая ответственность за нарушения в области использования личных данных осуществляется в требовании выплаты денежной компенсации за моральный вред.

В случае незаконного распространения чужих персональных данных на рабочем месте на виновника могут возложить дисциплинарную ответственность в виде увольнения. Если нарушение было не слишком серьезным, работник может отделаться выговором или замечанием.

  • Материальная ответственность может затронуть работников, которых уличили в разглашении информации, связанной с персональными данными других лиц.
  • Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных предполагает предупреждение или штраф в размере от 1 000 до 3 000 рублей – для физических лиц; от 5 000 до 10 000 рублей – для должностных лиц, от 20 000 до 50 000 рублей – для юридических лиц.
  • А за распространение охраняемой законом информации на рабочем месте – штраф в размере от 500 до 1 000 рублей – для физических лиц, от 4 000 до 5 000 рублей – для должностных лиц.
  • Уголовная ответственность в области персональных данных полагается за нарушение неприкосновенности частной жизни. Меры ответственности по УК РФ следующие:
  • штраф в 200 000 рублей или в размере зарплаты/иного дохода нарушителя за 18 месяцев;
  • обязательные работы на срок от 120 до 180 часов;
  • исполнительные работы на срок до 12 месяцев;
  • арест на срок до 4-х месяцев.

Если лицо, нарушившее неприкосновенность частной жизни, использовало при этом служебное положение наказание будет строже:

  • штраф от 100 000 до 300 000 рублей или в размере зарплаты/иного дохода правонарушителя за 1-2 года;
  • лишение права занимать определенные должности на срок от 2 до 5 лет;
  • арест на срок от 4 до 6 месяцев.

Полномочия Роскомнадзора в вопросе защиты данных

Следует учитывать, что к ответственности за нарушение законодательства в сфере ПДн операторов может привлекать регулятор – Роскомнадзор. Причем претензии к работе организации в этом направлении могут появиться у него после плановой проверки организации либо после получения жалобы от субъектов.

К слову о проверках. Они бывают плановыми и внеплановыми. Первые проводятся не чаще одного раза в три года (для одной организации). Причем список организаций, к которым инспекторы придут с проверкой в ближайший год можно найти на официальном сайте Роскомнадзора. Внеплановые проверки проводятся по случаю, например, в целях разобраться в ситуации после получения жалобы от субъекта.

Поводом для проведения инспекции может стать и желание регулятора развеять собственные подозрения. Дело в том, что третьей формой проверки является систематическое наблюдение за деятельностью операторов.

Обо всех проверках регулятор уведомляет организацию заранее: за три дня в случае плановой и за 24 часа в случае внеплановой. Кроме того, по типу инспекции могут быть документарными и выездными.

В первом случае достаточно предоставить регулятору полный пакет запрашиваемых им документов, которые доказывают, что оператор ведет работу с ПДн строго по закону.

Во втором, инспекторы могут пройти по компании с экскурсией, чтобы изучить и технический аспект защиты информации.  

Полномочия Роскомнадзора:

  • может потребовать уничтожения недостоверных или полученных незаконным путем ПДн;
  • может ограничить доступ к информации, обрабатываемой с нарушением законодательства;
  • может направить исковое заявление в защиту прав субъектов ПДн и представлять их в суде;
  • наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении закона «О персональных данных»;
  • рассматривает жалобы и обращения по вопросам обработки данных и принимает по ним решения.

Судебная практика и практика проверок Роскомнадзора, однако, показывает, что большинство нарушителей ограничиваются штрафами. В редких случаях регулятор может потребовать через суд блокировки ресурса, который уличили в распространении закрытой информации.

Так, с 1 сентября 2015 года, когда в России появился реестр операторов ПДн, суды приняли 238 положительных решений по обращениям Роскомнадзора. Эта цифра не выглядит устрашающей на фоне общего числа операторов в реестре – 401 624 по состоянию на 31.12.2017.

Но и штрафы, которые компаниям выписывают чаще, на деле выглядят не такими уж большими. К примеру, итоговая сумма выписанных регулятором штрафов за 2017 год составила 4 068 500 рублей.

Проверки ФСТЭК и ФСБ

Закон «О персональных данных» устанавливает меры по обеспечению безопасности при обработке персональной информации. Соответствие информационной системы предприятия этим требованиям контролируют ФСТЭК и ФСБ. На практике они зачастую проверяют только организации, которые используют государственные информационные системы.

Проверки ФСТЭК и ФСБ могут быть плановыми и внеплановыми. При этом инспекторы обоих органов обращают внимание на одни и те же вещи, но рассматривают их под разными углами. К примеру, проверяют, какие организационные меры для защиты данных приняты в организации, исходя из требований ФСТЭК и ФСБ соответственно.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/mezhdunarodnaya-sistema-zashchity-personalnyh-dannyh/v-rf/

Меры по защите персональных даных сотрудников

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Читайте также:  Как посмотреть выручку в 1с за месяц и год, в том числе розничную: где нужно смотреть поступления через кассу на расчетный счет и каким образом их можно отразить?

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

  • • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;
  • • утверждение перечня документов, содержащих персональные данные;
  • • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;
  • • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;
  • • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;
  • • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;
  • • утверждение порядка уничтожения информации;
  • • выявление и устранение нарушений требований по защите персональных данных;
  • • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.
  • Среди мер по внешней защите персональных данных следует выделить такие:
  • • введение пропускного режима, порядка приема и учета посетителей;
  • • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
  • Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:
  • • общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;
  • •  список лиц, обрабатывающих персональные данные;
  • • приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: https://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

Защита персональных данных — это… Что такое Защита персональных данных?

  • Обработка персональных данных —   любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение,… …   Википедия
  • Субъект персональных данных — Субъект персональных данных  физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. Содержание 1 Взаимодействие с субъектом персональных данных …   Википедия
  • Оператор персональных данных — (согласно закону РФ «О персональных данных»)  государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… …   Википедия
  • Уничтожение персональных данных — Эта статья или раздел описывает ситуацию применительно лишь к одному региону. Вы можете помочь Википедии, добавив информацию для других стран и регионов. Содержание 1 Определение …   Википедия
  • Федеральный закон «О персональных данных» — Номер: 152 ФЗ Принятие: Государственной думой 26 июля 2006 года Вступление в силу: 26 января 2007 г. Федеральный закон РФ от 27 июля 2006 года № 152 ФЗ «О персональных данных» федеральный закон, регулирующий деятельность по обработке (использ …   Википедия
  • Согласие на обработку персональных данных — Эта статья предлагается к удалению. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/29 августа 2012. Пока процесс обсужден …   Википедия
  • ТРЕБОВАНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА И ГАРАНТИИ ИХ ЗАЩИТЫ — согласно Трудовому кодексу Российской Федерации от 30.12.2001 № 197 ФЗ, заключаются в следующем: 1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых… …   Делопроизводство и архивное дело в терминах и определениях
  • информационная система персональных данных — информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… …   Словарь-справочник терминов нормативно-технической документации
  • ЗАЩИТА ДАННЫХ — (data protection) Система защиты персональной информации в Великобритании, то есть информации личного характера об отдельных людях, хранящейся в компьютерах. Принципы защиты данных, ответственность тех, кто пользуется этой информацией, и права… …   Словарь бизнес-терминов
  • ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

Источник: https://med.academic.ru/dic.nsf/ruwiki/1302895

Ссылка на основную публикацию
Adblock
detector