Обратно персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: обратно персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 14 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 14 . Право субъекта персональных данных на доступ к его персональным данным

ГАРАНТ:

См. комментарии к статье 14 настоящего Федерального закона

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Читайте так же:  Возместить судебные издержки

Источник: http://base.garant.ru/12148567/888134b28b1397ffae87a0ab1e117954/

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

5 мифов о персональных данных

Пару месяцев назад поднялся хайп по поводу изменения законодательства о персональных данных. Находчивые юристы стали наперебой убеждать, что любая форма обратной связи или виджет заказа обратного звонка на сайте свидетельствует об обработке персональных данных пользователей, Роскомнадзор уже штрафует за нарушения и нужно срочно вставать на учет.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать.

Правила обработки персональных данных не изменились. В июле 2017 года вступили в силу поправки в КоАП РФ, ужесточающие ответственность за нарушение законодательства о персональных данных. Введены новые составы правонарушений и суммы штрафов повышены до 75 000 рублей. Это правда.

Но нужно понимать, что суммы штрафов для физических лиц на порядок, а для предпринимателей в разы ниже штрафов для юридических лиц. Максимальный штраф в 75 тыс. руб. установлен для юридических лиц по одному их 7 составов. В остальных случаях максимальный штраф колеблется от 30 до 50 тыс. руб.

Из неприятного – штрафы по различным составам частично могут складываться. Среди возможных нарушений в частности перечислены:

  • обработка персональных данных в случаях, не предусмотренных законом, или несовместимая с целями сбора персональных данных;
  • обработка персональных данных при отсутствии письменного согласия субъекта;
  • неисполнение обязанности по опубликованию политики по обработке персональных данных.

Однако беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о персональных данных. Чтоб оценить риски привлечения к ответственности рассмотрим 5 наиболее популярных мифов о персональных данных, блуждающих в умах интернет-сообщества.

1. Персональные данные — это любые сведения о физическом лице

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ч.1 ст.3 ФЗ «О персональных данных»).

Однако если переложить данную норму на обычный язык, персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна.

Проверим тезис на информации о номере телефона или адресе электронной почты. У вас нет легального доступа к абонентской базе или базе пользователей почтового сервиса. Следовательно, сами по себе данные сведения не позволяют установить личность человека, который ими пользуется.

Поэтому данные нельзя считать персональными в том случае, если без использования дополнительной информации они не позволяют идентифицировать физическое лицо.

Если у вас остались сомнения в такой трактовке нормы, можно ознакомиться с первоисточником на сайте Роскомнадзора. Дословно норма Конвенции о защите физических лиц при автоматизированной обработке персональных данных звучит так:

«Персональные данные означают информацию, касающуюся конкретного или могущего быть идентифицированным лица (»субъекта данных»)» (ст.2 Конвенции).

«Абонентский номер (номер телефона) служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца».

Если форма обратной связи не предполагает предоставление помимо номера телефона или электронного адреса дополнительных сведений, идентифицирующих пользователя, такая информация не относится к персональных данным. Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными, т.к. имя не идентифицирует гражданина.

«Гражданин приобретает и осуществляет права и обязанности под своим именем, включающим фамилию и собственно имя, а также отчество, если иное не вытекает из закона или национального обычая (ч.1 ст.19 ГК РФ)».

Поэтому с точки зрения гражданского законодательства просто имени не достаточно для возникновения юридических последствий. Как минимум, необходимы еще отчество и фамилия.

Читайте так же:  Работа с патентом в лента

Аналогичным образом не относятся к ПДн сведения об IP, cookie, и прочие данные, собираемые в автоматическом режиме в связи с активностью на сайте или в приложении пользователя, не прошедшего полную идентификацию.

2. Оператор по обработке персональных – это лицо, осуществляющее их обработку

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» (ч.2 ст.3).

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора» (ч.3 ст.6).

Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.

На практике к таким лицам могут относиться любые консалтинговые и сервисные компании, включая облачные сервисы. Персональные данные предоставляются клиентами, они же и несут ответственность за легальность их обработки.

Аналогично любые сервисы не должны отвечать за обработку ПДн сотрудников клиентов, которые последние самостоятельно загружают в сервис. Именно клиент должен получить согласие субъекта персональных данных на передачу сервису и их обработку соответствующими способами.

Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.

3. Все сайты должны опубликовать Политику конфиденциальности

«Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети» (ч.2 ст.18.1).

Однако не забывайте о возможных исключениях из данного правила.

Во-первых, не все сведения о физическом лице относятся к персональным данным (см. миф 1).

Во-вторых, такие правила не возлагаются на лицо, осуществляющее обработку персональных данных по поручению оператора (см. миф 2 выше).

В-третьих, сам ФЗ «О персональных данных» не возлагает на физических лиц (в том числе ИП) обязанность издания документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных. Такие документы должны издаваться только юридическими лицами (пп.2 ч.1 ст.18.1).

4. На обработку персональных данных требуется письменное согласие

Действительно, в качестве первого условия обработки ПДн названо согласие субъекта персональных данных на обработку его персональных данных (пп.1 ч.1 ст.6 ФЗ «О ПДн»).Но при этом не всегда обязательно оформлять согласие на бумаге за собственноручной подписью субъекта ПДн. Есть ряд дополнительных или взаимоисключающих правил.

1. Согласие на обработку ПДн не требуется лицу, действующему по поручению оператора (ч.4 ст.6)

2. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка ПДн:

  • в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (пп.5 ч.1 ст.6);
  • к которым предоставлен доступ неограниченного круга лиц субъектом персональных данных либо по его просьбе (пп.10 ч.1 ст.6).

Таким образом в случае принятия пользовательского соглашения достаточно уведомить пользователя об обработке его персональных данных.

3. Согласие может быть дано оператору в иной форме

«Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом» (ч.1 ст.9).

Другими словами, если федеральный закон не требует получения согласия строго в письменной форме, оно может быть дано любым иным способом, в том числе путем совершения запрашиваемых действий. Например, такими действиями могут признаваться направление проверочного кода, указанного в СМС, переход по ссылке, направленной на электронную почту пользователя при регистрации в аккаунте и т.п.

4. Согласие в письменной форме может быть подписано электронной подписью

«Согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью признается равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе» (ч.4 ст.9)

Здесь следует принимать во внимание, что под электронной подписью понимается усиленная квалифицированная электронная подпись (см. ч.3 ст.18 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи»).

5. Каждый оператор ПДн должен быть включен в реестр Роскомнадзора

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных» (ч.1 ст.22).

Однако при этом забывают, что в той же статье закона предусмотрены исключения из данного правила. К рассматриваемой ситуации обработки ПДн частным интернет-сервисом относятся минимум два основания освобождения от обязанности подачи уведомления.

Видео (кликните для воспроизведения).

В частности оператор вправе осуществлять без уведомления Роскомнадзора обработку следующих персональных данных:

«полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» (пп.2 ч.2 ст.22)
«сделанных субъектом персональных данных общедоступными» (пп.4 ч.2 ст.22)

1) В первом случае для обработки ПДн без уведомления Роскомнадзора достаточно предложить пользователю принять пользовательское соглашение, которое по сути является договором. Для получения сообщений на номер телефона и адрес электронной почты в любом случае необходимо получать согласие пользователя, поэтому принятие пользовательского соглашение решает две задачи одновременно: с одной стороны вы легально используете данные без уведомления Роскомнадзора, с другой – получаете согласие на обращение к пользователю по указанным номерам и адресам, включая при необходимости рекламную рассылку.

Читайте так же:  Нарушение прав представителя

2) Второе исключение из правил касается общедоступных данных. Это основание может пригодиться социальной сети, доске объявлений или сайту поиска работы, где пользователи самостоятельно делают доступной информацию о себе. В таком случае нет необходимости не только уведомлять Роскомнадзор об обработки данной категории ПДн, но и получать дополнительное согласие пользователя на их обработку.

3) Помимо этого вспомните, что не все лица, осуществляющие обработку ПДн считаются операторами. Некоторые из них действуют по поручению оператора (см. миф 2 выше). Поэтому им не нужно направлять уведомление в Роскомнадзор об обработке ПДн, предоставленных оператором.

4) Отдельного упоминания заслуживает регомендация встать на учет «как бы чего не вышло». Это во всех отношениях вредный совет, т.к. Роскомнадзор должен проводить плановые проверки операторов, включенных в реестр. И тогда вам простая политика конфиденциальности не поможет: спросят все внутренние регламенты по информационной безопасности и проверят фактическое выполнение!

Обращайте внимание на детали – в них кроется юрист дьявол.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Источник: http://habr.com/post/337354/

Персональные данные: основные документы и новинки законодательства

Мы продолжаем рассказывать о локально-нормативных актах организации, и здесь особое место занимает Положение о персональных данных. С 1 июля 2017 года ответственность за ошибки в сборе, хранении и обработке персональных данных ужесточается. Чтобы избежать штрафов, размер которых серьезно вырос, организация должна очень тщательно подойти к разработке Положения о персональных данных.

Что такое персональные данные

Согласно Федеральному закону № 152-ФЗ от 27.06.2006, персональными данными считается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Под это понятие подпадают практически все сведения, которыми оперирует работодатель: дата рождения работника, семейное положение, образование, домашний адрес и пр. Эти данные хранятся в личных карточках, активно используются в трудовых договорах и контрактах, приказах, расчетных листках, платежных ведомостях, заявлениях и множестве иных документов.

Получать личные данные работодатель может только из первых рук, то есть от самого человека. Если лично собрать информацию не удается, ее можно получить через третьих лиц, но с согласия самого сотрудника. При этом ему следует разъяснить, с какой целью собирается информация, как она будет использоваться и что случится, если сотрудник откажется дать свое согласие на сбор и обработку сведений о себе.

Законодательство ограничивает перечень ситуаций, когда работодатель может собирать данные. В числе основных указаны:

  • сохранение жизни и здоровья подчиненных;
  • помощь в трудоустройстве и образовании;
  • содействие карьерному росту;
  • контроль за выполнением работником его трудовых функций;
  • охрана материальных ценностей;
  • соблюдение исполнения законов.

Ответственность за нарушения в работе с персональными данными

С 1 июля 2017 года ответственность за ошибки в этой сфере серьезно возрастет. Перечень нарушений, за которые работодатель может быть привлечен к ответственности, значительно расширен, а кроме того, увеличены размеры штрафов. Такие изменения содержит Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Вместо одного вида административной ответственности, который предусматривала ст. 13.11, в КоАП РФ теперь семь видов, и для каждого — свои штрафы:

Законодательство позволяет суммировать штрафы за разные нарушения, поэтому ошибки или небрежное отношение к сведениям о сотрудниках могут обойтись работодателю очень дорого. А кроме того, с 1 июля 2017 года возбуждать административные дела в части обращения с персональными данными разрешено без участия прокурора — инициировать их смогут должностные лица Роскомнадзора (п. 58 ч. 2 ст. 28.3 КоАП РФ).

Соблюдать требования законодательства поможет правильно составленное Положение о персональных данных, которое должно закрепить нормы законодательства и конкретизировать их для организации.

Как составить Положение о персональных данных

Закон не оговаривает название, структуру и обязательное содержание документа, работодатель вправе сам определить, как будет выглядеть Положение. Разрабатывая документ, руководитель организации и специалисты кадровой службы должны опираться на указанный выше Федеральный закон № 152-ФЗ, а также на ст. 87 Трудового кодекса РФ.

В Положении о персональных данных стоит отразить:

Положение о защите персональных данных работника и шаблон согласия утверждает руководитель организации. Штамп с подписью, датой утверждения и номером протокола ставится на титульном листе документа. Чтобы ввести Положение в действие, руководитель выпускает отдельный приказ.

С Положением о персональных данных должны быть ознакомлены все сотрудники под роспись. Для этого в организациях часто заводят отдельный журнал с перечнем работающих в компании сотрудников.

Согласие на обработку персональных данных

Это документ, в котором принимаемый на работу человек разрешает будущему работодателю получать необходимую информацию и использовать ее в рамках действующего законодательства.

Согласие на обработку персональных данных оформляйте в программе Контур-Персонал

Работодатель не имеет права собирать и использовать личную информацию работников без их письменного согласия. Исключение — данные из медицинских учреждений, касающиеся противопоказаний к определенному роду деятельности.

Согласие должно включать в себя следующую информацию (ч. 4 ст. 9 закона № 152-ФЗ от 27.07.2006):

  • ФИО, адрес сотрудника, реквизиты паспорта (или другого удостоверяющего личность документа);
  • ФИО, адрес представителя сотрудника, реквизиты его паспорта (или другого удостоверяющего личность документа), реквизиты доверенности;
  • наименование или ФИО и адрес работодателя, получающего согласие носителя персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • цель обработки персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки этих сведений;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом.

Документ подписывается работником после знакомства с Положением. Такое же согласие необходимо оформить, если человек разрешает третьим лицам предоставлять информацию о себе.

Читайте так же:  Нарушение прав ребенка в школе примеры

Работодатель не имеет права принуждать потенциального сотрудника предоставлять о себе какие-либо сведения. Если претендент отказывается подписывать Согласие, организация может пересмотреть решение о приеме такого человека в штат. Отозвать свое согласие может и любой из работающих сотрудников организации (ч. 2 ст. 9 152-ФЗ).

После того как работодатель получил согласие работника на обработку личной информации, он может поручить это третьему лицу, однако ответственность за сохранность сведений все равно лежит на работодателе.

Сферы защиты персональных данных коснулись действительно масштабные изменения, и работодателю следует быть вдвойне внимательным как при составлении Положения, так и при работе с личной информацией по сотрудникам. Помните, чем подробнее и конкретнее прописано Положение о персональных данных, тем четче в организации будет выстроена работа на этом участке кадрового учета.

Источник: http://kontur.ru/articles/4811

Что такое обезличивание персональных данных, для чего нужно, каковы правила работы с ними?

Обращение с персональными данными как физического, так и юридического лица в Российской Федерации регламентируется законодательством. Такая информация принадлежит владельцу и может обрабатываться только при наличии согласия.

Обезличивание позволяет компании снизить приоритетность информации, обезопасить хозяев за счет сокращения и изменениях ведомостей. В этом материале мы разберемся с тем, что собой представляет обезличивание данных, в каких случаях оно используется и с какой конечной целью.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Что это такое?

Обезличивание персональной информации является составляющей частью обработки материалов. В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу. При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.

Статья 7 ФЗ №152 от 27 июля 2006 года «О персональных данных». Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Эта же информация может помочь определить, к какому россиянину относятся ведомости, если будут использованы дополнительные источники. Обезличивание проводится как при помощи автоматизированных систем (компьютеров, программ), так и без использования таких средств.

Алгоритм доступен только операторам, имеющим в своем распоряжении информацию личного характера. После обезличивания материалов с оператора снимаются требования по обеспечению максимальной конфиденциальности.

Теперь вы в общих чертах знаете, что это такое — обезличенные данные о клиентах.

Для чего необходимо?

Роскомнадзор определяет обезличивание в качестве способа защиты информации от несанкционированного использования, однако сохранить возможность пользоваться ею дальше. В некоторых случаях операторам необходимо сохранить доступ к ведомостям на длительный срок. Если ликвидировать материалы невозможно, обезличивание станет достойной альтернативой.

Хранение персональных сообщений регулируется законом, требует выполнения мероприятий по обеспечению конфиденциальности. Например, в электронном виде сведения должны храниться в информационных системах, прошедших государственную экспертизу. Переведя данные в разряд обезличенных, оператор может сократить собственные расходы на хранение информации, ведь с этого момента они больше не позволяют определить их владельца.

Пример

Многие из жителей Российской Федерации пользуются интернет-магазинами для совершения быстрых и выгодных покупок. И каждый торговый портал является оператором ПД (персональных данных). Предположим, ресурс хранит сообщения о клиентах в электронном виде.

По каждому покупателю у оператора имеются следующие сведения: ФИО, город проживания, перечень заказанных товаров. Все эти материалы являются личными, дают возможность идентифицировать лицо с большой долей вероятности или способны, в случае неконтролируемого распространения, нанести гражданину — обладателю информации — вред.

Возьмем для примера метод декомпозиции. Он предусматривает разбивку массива информации (ФИО, город проживания и перечень товаров) на несколько частей, которые будут храниться отдельно друг от друга. Все три группы по отдельности не могут стать инструментом для идентификации человека.

Однако при любом способе деперсонализации данных интернет-магазин сохранит возможность оперировать необходимыми материалами, например, использовать информацию для собственных статистических исследований по популярности ресурса в отдельном населенном пункте или востребованности определенного товара.

Правила работы

Такие правила устанавливаются региональными муниципалитетами Российской Федерации на основе уже упомянутого Федерального закона «О персональных данных».

  • На обезличенные ПД распространяется требования о сохранении информации и обеспечении защиты ведомостей личного свойства от третьих лиц.
  • Обрабатывать их при помощи средств автоматизации или без из участия средств автоматизации
  • Придерживаться антивирусной, парольной политики.
  • Хранить физические носители в отдельном помещении с ограниченным правом доступа.

Теперь вы знаете, каковы правила работы с обезличенными данными о клиенте.

При помощи чего возможно?

Так как же обезличить ПД? Основные методы обезличивания информации утверждены в Приказе Роскомнадзора, органа осуществляющего надзор за реализацией государственной политики в сфере массовой коммуникации. В наши дни используются четыре основных метода обезличивания.

  1. Введение идентификаторов (часть информации заменяется соответствующими идентификаторами. Для реализации метода создается таблица или справочник, только через таблицу/справочник информацию можно расшифровать).
  2. Замена состава или семантики информации (оператор удаляет часть сведений, обобщает их, например, вместо конкретных адресов вписывает только города. Кроме этого, разновидностью метода назовем замену ПД статистической информацией – вместо ФИО каждого гражданина, оператор оставляет необходимую ему возрастную/гендерную статистику или другие ведомости.
  3. Декомпозиция (разбиение одного массива информации на меньшие блоки, которые сами по себе не дают возможности идентифицировать человека).
  4. Метод перемешивания (группы сведений в одном документе перемешиваются таким образом, что установить принадлежность лицу не представляется возможным).

Пошаговая инструкция: как осуществить?

Основным нормативным документом при проведении обезличивания информации остается акт «О персональных данных» правительства Российской Федерации. Обезличивание считается вариантом обработки ПД, поэтому при проведении соответствующего действия необходимо выполнять основные требования, которые предъявляются к обработке:

Читайте так же:  Право собственности на квартиру материнский капитал

  • обеспечить защиту обезличенной информации от третьих лиц;
  • все действия с такой информацией выполнять только с разрешения ее хозяина.

Обработка данных включает в себя следующие составные мероприятия:

    Назначение ответственного сотрудника.

Лицо, ответственное за обработку ПД (в нашем случае их обезличивание), должно назначаться официальном приказом. После инструктажа работник подписывает документы о неразглашении конфиденциальной информации.
Составление документа о политике в отношении личных данных.

Для чего оператор собирает ПД, где их хранит, в какой срок они должны быть уничтожены и для каких целей применяется обезличивание – ответы на эти и другие вопросы необходимо прописать в документе. Его можно назвать просто «О персональных данных».
Получение письменных разрешений владельцев ПД.

Если вернуться к примеру с интернет-магазином, то от письменных разрешений придется отказаться. В момент регистрации на ресурсе россиянину предложат ознакомиться с политикой ПД конкретного ресурса и дать свое согласие на обработку ведомостей.
Следующим организационным документом станет «Распоряжение об обезличивании данных», в нем необходимо прописать выбранный способ обезличивания.

Обезличивание данных проводится исключительно для нужд самого оператора, поскольку в процессе этого мероприятия информация теряет важность. Хранить такие ведомости удобно для самого оператора, ведь обезличенные данные даже в случае несанкционированного распространения не смогут нанести вред субъектам. Тем не менее, они остаются персональной информацией, и доступ к ним должен быть ограничен по всем законам России.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obezlichivanie.html

Закон «О персональных данных» все что вы хотели знать, но боялись спросить

В сентябре 2015 года Федеральный закон о персональных данных претерпел серьезные изменения. Мы с вами сейчас внимательно их рассмотрим, чтобы понимать, как это все будет работать в реалиях Рунета. Юристы наши много раз говорили о ПДн и до вступления изменений в силу. И вот час настал, и все, что раньше только размусоливалось в теории, теперь введено в работу. Увы, мы пока не прорвались с докладом на главные каналы страны и все, что нам остается, писать сюда. Итак, приступим.

Начать, конечно, нужно с того, что теперь при сборе персональных данных (сокращенно – ПДн, никто не знает почему именно так, но будем использовать то, что есть), в Интернете или офлайн, оператор обязан обеспечить запись, систематизацию, хранение и уточнение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Этот вопрос уже наделал много шума в Сети. И все уже много раз обсудили, что серверы с базами персональных данных граждан должны находиться на территории матушки нашей России. В этой связи возникло множество вопросов и кривотолков, и «уток», конечно, тоже. Граждане задались вопросами: «Где ж нам взять столько качественных серверов? А не ухудшит ли отсутствие конкуренции и без того «ниочень» ситуацию с отечественными серверами?». Оно и верно. Но мы сейчас не об этом.

Минкомсвязи поделился с миром признаками ресурса, обязанного все наши персональные данные хранить в РФ, мы доносим их до вас, дорогие читатели.
Роскомнадзором будут использоваться два основных критерия:

  1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru,.рф, .su и т. д.).
  2. Наличие русскоязычной версии интернет-сайта. А кроме того – наличие возможности осуществления расчетов в рублях, возможности исполнения заключенного на таком интернет-сайте договора на территории России или использование рекламы на русском языке.

Кстати, велика вероятность того, что контролирующие органы будут обращать свое зоркое око особливо на отечественные компании, работающие с заграничными сервисами.

Двинемся далее. Из текста статьи 18 ФЗ «О персональных данных» следует, что

При сборе ПДн оператор обязан обеспечить хранение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

А это значит, что хранению в РФ подлежат персональные данные, полученные в результате организации сбора таких данных, а не в результате случайного попадания к нему. Соответственно, получение контактов, например, курьеров одной организации другой организацией, переданных в ходе рабочего процесса, не будет являться сбором персональных данных. А если вы получили визитку при личной встрече с сотрудником некой компании, потом забили эти данные в CRMку, да еще и в рассылку его включили, то, извините, это уже можно считать обработкой ПДн. Однако закон тут не дает точных формулировок и судебной практики еще нет. Поэтому можно долго и нудно обсуждать этот вопрос, но так и не прийти к точному ответу. Поэтому мы вместе с вами будем ждать пояснений свыше.

Рассматривать статьи ФЗ «О персональных данных» невозможно по отдельности. Простой пример: если требование по локализации отдельных процессов обработки ПДн из статьи 18 рассматривать вместе со ст. 12 о трансграничной передаче данных, при этом еще учитывая определения из статьи 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу», то в сумме мы получаем следующее: ПДн гражданина, изначально внесенные в базу на территории Российской Федерации и актуализируемые в ней («первичная база данных»), в дальнейшем можно передать в базы данных, расположенные за рубежом («вторичные базы данных»), с другими админами. Все это, естественно, должно проворачиваться с соблюдением положений о трансграничной передаче данных.

На этом у нас все.

Храните деньги в сберегательных кассах данные на территории РФ и не забывайте каждый раз просить согласия пользователей на сбор и обработку их персональных данных. Иначе Роскомнадзор найдет вас, даже если лично Вы находитесь на Бали.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/296146/

Обратно персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here