Какие есть способы обработки пдн
Перейти к содержимому

Какие есть способы обработки пдн

  • автор:

Что значит обработка персональных данных

Что такое личные данные и их обработка. Что входит в состав личной информации

Термин «обработка персональных данных» введен законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под обработкой персональных данных понимаются различные действия с личной информацией людей (в частности, сбор, хранение, систематизация, использование, передача иным лицам и т. п.), которые выполняются физическими лицами или организациями.

Что входит в состав личных сведений о человеке? Закон об этом прямо не говорит, хотя и оперирует словосочетанием «любая информация», которая относится к человеку. Соответственно, можно сделать вывод, что персональные данные — это Ф. И. О., дата рождения, адрес, телефон, электронная почта, ссылка на профиль в социальной сети и т. д.

Ознакомиться с экспертным определением понятия персональных данных вы можете в тематической публикации, размещенной в системе «КонсультантПлюс». Получите пробный доступ к ней бесплатно.

Принципы обработки личной информации

Законодательно установлены принципы работы с личной информацией, которые следует соблюдать. В частности:

  • Нужно руководствоваться порядком, прописанным законодательно, в частности в законе № 152.
  • Нельзя собирать, обрабатывать и использовать информацию без определенной цели.
  • Объем собранных данных должен соответствовать цели, для которой они собираются. Не допускается сбор избыточной информации.
  • Срок хранения сведений устанавливается законом, определяется договором с владельцем данных либо целью их обработки.
  • Данные должны быть актуальными, точными и достаточными. Соответственно, если оператору стало известно, что они изменились, должны быть внесены соответствующие поправки.

С 1 сентября 2022 г. вступают в силу новые требования законодательства к обработке персональных данных. Подробнее — здесь.

Способы и условия обработки данных

Способов обработки персональных данных законом установлено всего два (п. 3 ст. 3 закона № 152-ФЗ): автоматизированный и неавтоматизированный.

Также законом определены условия обработки персональных данных:

  • Обработка допускается только в установленных законом случаях (для выполнения возложенных на оператора функций, например, в связи с участием человека в судебном процессе, для исполнения судебного акта и иных).
  • Оператор имеет право поручить обработку информации другим лицам, но только если такое право предусмотрено законом или договором.
  • Ответственность за допущенные нарушения несет сам оператор, даже если обработка данных поручена кому-либо другому.
  • Порядок обработки персональных данных предполагает соблюдение конфиденциальности. Запрещается раскрывать и передавать сведения. Однако возможны исключения из этого правила. Например, при рассмотрении дела в суде личные данные истца станут известны ответчику и третьим лицам, которым вручаются копии иска, где прописана информация о сторонах процесса.

Эксперты «КонсультантПлюс» рассказали об особенностях обработки персональных данных работников предприятия. Получите пробный доступ к публикации на данную тему бесплатно.

Уведомление Роскомнадзора об обработке личной информации

Обработке данных по закону должно предшествовать направление потенциальным оператором уведомления об обработке персональных данных в Роскомнадзор.

Не уведомлять этот госорган можно в некоторых случаях, перечисленных в ч. 2 ст. 22 закона № 152-ФЗ, а именно если:

  • данные обрабатываются в рамках трудовых отношений;
  • сведения получены в результате заключения договора и не передаются иным лицам;
  • информация является общедоступной;
  • обрабатываются только фамилия, имя, отчество;
  • данные собираются с целью однократного пропуска человека на территорию оператора или в иных аналогичных случаях;
  • данные собираются без использования средств автоматизации.

Содержание уведомления об обработке персональных данных регламентируется ч. 3 ст. 22 закона № 152-ФЗ. А в приложении № 1 к Методическим рекомендациям по уведомлению уполномоченного органа…, утвержденным приказом Роскомнадзора от 30.05.2017 № 94, приводится форма документа.

После получения уведомления Роскомнадзор в течение 30 дней вносит перечисленную в ч. 3 ст. 22закона № 152-ФЗ информацию в реестр. Для заявителя данная процедура бесплатна.

Узнайте больше из специальной публикации, размещенной в системе «КонсультантПлюс», о порядке уведомления Роскомнадзора об обработке персональных данных. Получите пробный доступ к материалу бесплатно.

Меры, которые должен принять оператор при обработке сведений

В ходе обработки информации одна из основных задач оператора — обеспечить их безопасность, конфиденциальность и неприкосновенность. Для этого он должен принять следующие меры:

  1. Разработать политику работы с личными сведениями и довести ее до сведения клиентов.
  2. Запрашивать согласие на обработку персональной информации.
  3. В случае использования информационных систем четко определить потенциальные угрозы, исключить возможность распространения личных данных.
  4. Изучить и соблюдать меры безопасности, установленные приказами ФСТЭК «Об утверждении…» от 18.02.2013 № 21 и ФСБ «Об утверждении…» от 10.07.2014 № 378.
  5. Фиксировать все случаи несанкционированного доступа к данным. Восстанавливать поврежденные или утраченные в ходе такого доступа сведения.
  6. Устанавливать правила, по которым люди могут получить доступ к информации.
  7. Обеспечивать внутренний контроль за соответствием обработки персональных данных требованиям закона.

Соблюдение указанных мер проверяет Роскомнадзор в рамках контрольно-надзорных мероприятий. Узнайте больше об особенностях их проведения ведомством.

Запрет на обработку информации

В любой момент человек имеет возможность отозвать свое разрешение на обработку его личной информации оператором. В этом случае оператор должен:

  • исключить из информационной системы или иной базы данных хранения все сведения о лице, направившем запрет на обработку персональных данных;
  • в дальнейшем не производить никаких операций с личными сведениями заявителя (включая хранение и использование);
  • направить уведомление об отзыве согласия лицу, обрабатывающему информацию на основании договора с оператором (если такой договор заключался).

Подробнее о процедуре отзыва человеком согласия на обработку персональных данных читайте в специальной публикации.

Ответственность за нарушения в работе с личными сведениями

За нарушение правил работы с персональными данными оператор несет административную ответственность по ст. 13.11 КоАП РФ.

Статья Кодекса Российской Федерации об административных правонарушениях

Основание для привлечения к ответственности

Ч. 1 ст. 13.11 КоАП РФ

Обработка данных в случае, если она противоречит целям их сбора

Штраф 2–6 тыс. руб. для граждан, 10–20 тыс. руб. для должностных лиц, 60–100 тыс. руб. для организаций

Ч. 1.1 ст. 13.11 КоАП РФ

Повторное совершение нарушения по ч. 1

Штраф 4–12 тыс. руб. для граждан, 20–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 100–300 тыс. руб. для юрлиц

Ч. 2 ст. 13.11 КоАП РФ

Обработка информации без согласия ее владельца

Штраф 6–10 тыс. руб. для граждан, 20–40 тыс. руб. для должностных лиц, 30– 150 тыс. руб. для организаций

Ч. 3 ст. 13.11 КоАП РФ

Неопубликование или недоведение до сведения граждан политики работы оператора с персональными данными

Штраф 1500–3000 руб. для граждан, 6–12 тыс. руб. для должностных лиц, 10 –20 тыс. руб. для ИП, 30–60 тыс. руб. для организаций

Ч. 4 ст. 13.11 КоАП РФ

Непредоставление гражданам информации об обработке их персональной информации

Штраф 2– 4 тыс. руб. для граждан, 8–12 тыс. руб. для должностных лиц, 20–30 тыс. руб. для ИП, 40 –80 тыс. руб. для организаций

Ч. 5 ст. 13.11 КоАП РФ

Невыполнение требований граждан актуализировать, блокировать или уничтожить персональные данные в определенных законодательством случаях

Штраф 2–4 тыс. руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–90 тыс. руб. для организаций

Ч. 5.1 ст. 13.11 КоАП РФ

Повторное нарушение по ч. 5

Штраф 20–30 тыс. руб. для граждан, 30–50 тыс. руб. для должностных лиц, 50–100 тыс. руб. для ИП, 300–500 тыс. руб. для юрлиц

Ч. 6 ст. 13.11 КоАП РФ

Несоблюдение правил хранения сведений, повлекшее несанкционированный доступ к ним третьих лиц

Штраф 1500–4000 руб. для граждан, 8–20 тыс. руб. для должностных лиц, 20–40 тыс. руб. для ИП, 50–100 тыс. руб. для организаций

Ч. 7 ст. 13.11 КоАП РФ

Несоблюдение требований к обезличиванию персональных данных либо их необезличивание должностными лицами государственных и муниципальных учреждений

Штраф 6–12 тыс. руб.

Итоги

Таким образом, процедура обработки личных данных строго регламентирована законодательством, а за ее нарушение установлена административная ответственность. Любому оператору персональных данных необходимо разработать правила обработки информации, уведомить в случае необходимости Роскомнадзор, не допускать перечисленных в статье нарушений.

Персональные данные: как хранить, обрабатывать и защищать по закону

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Также к ПДн можно отнести:

  • национальность;
  • политические, философские и религиозные взгляды;
  • место регистрации;
  • информацию о здоровье, отпечатки пальцев и образцы голоса;
  • информация о судимостях;
  • номер телефона и электронная почта;
  • СНИЛС, ИНН и паспортные данные;
  • ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «[email protected]», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.

Определенные ПДн входят в категорию специальных, а именно информация о:

  • расе, национальности и религии;
  • политических и философских взглядах;
  • здоровье;
  • подробностях личной жизни;
  • судимостях.

Это информация о физиологических и биологических особенностях человека:

  • отпечатки пальцев;
  • генетическая информация;
  • рисунок радужной оболочки глаз;
  • образцы голоса;
  • фотографии.

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

  • электронная почта или геолокация;
  • информация о принадлежности к определенной социальной группе;
  • стаж работы;
  • и т.д.

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.

Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.

В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.

Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора cookies тоже понадобится разрешение на сбор ПДн.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».

Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта, а также обязательно нужно удостовериться, что ЦОД соответствует 152-ФЗ и имеет все необходимые лицензии (о них ниже). Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware в Selectel соответствует 152-ФЗ и требованиям Роскомнадзора, имеет лицензии ФСТЭК и ФСБ, и может хранить данные любых категорий.

Всё, что происходит с ПДн — это обработка:

  • передача по сети;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

  • Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

Условия. Как и сбор, обработка ПДн должна проходить с разрешения субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Исключения. Разрешение не обязательно в тех же исключительных случаях, что и для сбора. Но есть и дополнительные, например:

  • разрешение не обязательно госорганам: для предоставления госуслуг, в судопроизводстве, и в других случаях, когда этого требует закон;
  • при неавтоматизированной обработке;
  • когда человек сам опубликовал свои данные публично;
  • когда все данные — это только ФИО.

Опять же, на большинство ресурсов в интернете исключения не распространяются.

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К хранению ПДн много требований со стороны 152-ФЗ.

  • Данных нужно хранить столько, сколько достаточно для обработки.
  • Информация должна храниться так, чтобы можно было определить субъекта.
  • Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
  • Если есть базы данных с разными ПДн, собранные для разных целей, их нельзя объединять.
  • После обработки ПДн должны быть уничтожены или обезличены.
  • Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.

Основные нормы хранения персональных данных закреплены 149-ФЗ.

Субъект может в любой момент запросить у оператора (в письменном или электронном виде) какие данные на него есть, где и кем хранятся его ПДн. А если информация неточная или старая — может потребовать все удалить.

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому системы хранения ПДн должны быть хорошо защищены. Критерий «хорошо» означает уровень защиты (УЗ). Уровни защиты описаны в 21 приказе ФСТЭК и связаны с категорией ПДн.

  • 1 УЗ — для спецданных, которые нуждаются в самой серьезной защите. Часто эти ПДн можно использовать, чтобы нанести ущерб. Например, технически УЗ требует безотказной работы серверов.
  • 2 УЗ — для биометрических данных (хотя для них подходит и 1 УЗ). Здесь, например, требуется резервное копирование и установки системы обнаружения вторжений.
  • 3 УЗ — для иных данных. Здесь, например, достаточно ограничения доступа к системам.
  • 4 УЗ — для общедоступных данных. Для них достаточно простой защиты, например, антивирусного приложения. Общедоступные ПДн не скрывают, их легко получить и сложной защиты не нужно.

Требования описаны в «Приложении» к приказу — всего их 109. Есть общие для всех.

  • Установить серверы в защищенном месте.
  • Обеспечить ограниченный доступ к серверами и установить запрет на подключение к ним напрямую.
  • Настроить доступ к данным только для тех, у кого есть на это права.
  • Поставить ПО, которое защищает от угроз: межсетевые экраны, антивирусные программы.
  • Использовать ПО, сертифицированное ФСТЭК.

Есть специфические для каждого УЗ. каждый оператор обязан самостоятельно определить уровень защиты ПДн и настроить защищенную IT-инфраструктуру, в соответствии с уровнем. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Подтвердить уровень защищенности можно технической документацией, которую отправляют в ФСТЭК.

Примечание. Если храните данные в ЦОД, то он обязательно должен иметь аттестат на соответствие требований приказа ФСТЭК. Аттестат гарантирует, что инфраструктура провайдера соответствует приказу ФСТЭК и данные надежно защищены. Обычно в аттестованных ЦОД можно хранить ПДн данные 1 и 2 УЗ. ЦОД Selectel аттестованы по 152-ФЗ и имеют лицензии ФСТЭК и ФСБ, и могут хранить данные также 1 и 2 УЗ.

Операторы обязаны подать заявление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Подготовить оборудование, ПО и инженерные системы недостаточно. Для хранения ПДн нужно еще много документов. Не считая тех, о которых уже говорили, это:

  • Модель угроз безопасности. В документе описываются опасности, которые угрожают системе хранения и обработки ПДн.
  • Приказ о назначении ответственного за безопасность персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за все, что происходит с ПДн.
  • Приказ о допуске к обработке. В приказе прописываются все, у кого есть доступ к ПДн.
  • Инструкция пользователя системы ПДн. Дополнение к приказу, в котором описано, как обращаться с ПДн.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Иногда Роскомнадзор проверяет ресурсы — собирают ли они ПДн и зарегистрировались ли как оператор. За нарушения штрафует, согласно статье 13.11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или хранит ПДн в базах данных в других странах.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Положения об обработке данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

В особо тяжелых случаях есть также и уголовная ответственность.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Аттестованный ЦОД помогает оператору не беспокоиться о требованиях регулятора по вопросам оборудования, физической безопасности данных, контроля доступа и уничтожения ПДн. Но вся ответственность на операторе.

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

Чтобы собирать, хранить и обрабатывать ПДн, нужно соблюдать 152-ФЗ:

  • Зарегистрироваться в Роскомнадзоре, как оператор.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать лишнее.
  • Отвечать на обращения субъектов и предоставляете всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей в определенный срок.
  • Хранить и защищать ПДн по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Не пропускайте полезные материалы, подписывайтесь на блог Selectel.

Какие есть способы обработки персональных данных?

В трудовом кодексе РФ существует такой термин, как «личная информация работающего человека». Данные о работающем контингенте должны предоставляться работодателю.

Изучив личную информацию, работодатель выносит вердикт о взятии человека на предприятие.

Информация, которую излагает о себе человек, должна быть защищена. Распространять ее запрещено.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону 8 (800) 302-76-94 . Это быстро и бесплатно !

Система

Персональная информация о работающих лицах должна подвергаться проработке.

Работодатель применяет следующие требования к персональным данным работающих людей:

  1. Процесс обрабатывания информационных сведений личного характера о работающем человеке происходит для того, чтобы обеспечить соблюдение законов, правовых актов. Благодаря обработке данных можно трудоустроить человека, обеспечить ему личную безопасность, проконтролировать работу, которую он выполняет.
  2. Работодатель учитывает объем, а также содержание личной информации о работающем контингенте, которая подвергается обработке. Все работодатели изучают и следуют аспектам Конституции, иным федеральным законам.
  3. Информационные данные о работающем коллективе надо получить непосредственно от самих работающих лиц. Можно заполучить данные о трудящемся человеке из третьих уст, но только с письменного согласия самого человека. Работодатель сообщает сотрудникам о своих целях и источниках, из которых будет принесена информация личного характера. Работодатель предупреждает о последствиях в случаях отказа от выдачи личной информации от работающего лица.
  4. Лицо, предоставляющее работу своим сотрудникам, не имеет прав на информацию о всевозможных убеждениях политического, религиозного характера, а также семейной жизни трудящегося лица. Личная жизнь сотрудника может излагаться лишь с его соглашения. Соглашение должно быть произведено в письменной форме.
  5. Работодатель не должен использовать в обработке информацию о нахождении работающих лиц в членских объединениях, профсоюзах. Но существуют ситуации, которые предусмотрены ФЗ.
  6. Вся личная информация должна защищаться и скрываться от всеобщего ознакомления и применения. Защита данных производится с условиями Федерального закона.
  7. Работающие лица изучают документы, которые принадлежат учреждению. Они должны раскрывать смысл и порядок, касающийся процессам по обрабатыванию личных данных сотрудников.
  8. Работающие люди должны соглашаться с аспектом защиты их персональной информации.
  9. Сами работодатели, а также работающие лица могут совместно выработать способы оберегания личной информации сотрудников.

При сообщении информации о сотрудниках, директор предприятия должен выполнять следующие правила:

  • третья сторона не должна знать о личных данных каждого сотрудника. Данные могут предоставляться только в тех случаях, когда работающие лица дали свое письменное согласие о применении их личной информации. Но если возникает какая-либо угроза для жизнеобеспечения, здоровья работающего коллектива, то личные данные могут предоставляться другим людям без каких-либо письменно написанных согласий;
  • работодатель не должен размещать данные о работающем на него коллективе в целях коммерции;
  • люди, которые получают информацию о сотрудниках, должны обрабатывать её в рамках конфиденциальности;
  • передача информационных сведений о человеке проводится лишь в одной организации посредством специальных внутренних актов учреждения;
  • к информационным сведениям о работнике есть доступ только специальных уполномоченных лиц;
  • не нужно запрашивать информационные сведения о здоровье работающих лиц. Запрос может осуществляться лишь в тех случаях, когда возникает вопрос о возможности осуществления рабочими людьми трудовых функций;
  • личные данные о рабочем контингенте могут собираться с учетом данных Кодекса.

Работающий контингент имеет право на:

  • ознакомление со своими личными данными и их обработкой;
  • неограниченный доступ к личным информационным данным. Работающему лицу могут выдаваться ксерокопии информационных данных. Но есть ситуации, когда персональная информация не раскрывается. Данные ситуации описаны в Федеральном законе;
  • медицинский специалист может просматривать личные данные работников;
  • возможность исправления или дополнения подданных личных данных.

Различают нижеследующие разновидности обрабатывания личных данных:

  1. Обрабатывание информации при помощи вычислительной техники.
  2. Не автоматизированное обрабатывание.
  3. Информационная система обрабатывание предоставленных данных.

Автоматизированная

Данное обрабатывание производится с использованием особой вычислительной техники. Наиболее распространенными аппаратами вычислительной техники могут быть:

  • электронная вычислительная машина;
  • вспомогательные устройства;
  • периферийные устройства;
  • обязательно установленное программное оснащение.

Неавтоматизированная

Наиболее подробно о неавтоматизированной обработке написано в правительственном постановлении од номером 687.

Распространение, изучение и удаление информации о работающем контингенте должно проводиться при части человека, а не вычислительной техники.

Информационная

Благодаря информационной системе производится обработка особых категорий личной информации о работающем контингенте. В этой системе обрабатывают данные, затрагивающие принадлежность к определенной расе и полу, национальность, политические взгляды, философское мировоззрение.

Благодаря информационной системе могут обрабатываться:

  • биометрические личные данные. В особенности если происходит характеристика физиологических, биологических данных. Благодаря полученной характеристике можно оценить личность трудящихся;
  • общедоступные личные данные;
  • иные информационные данные. Примером могут быть религиозные, национальные идеи, философское мировоззрение, моменты интимного характера трудящегося контингента и многие другие важные личностные характеристики вплоть до состояния здоровья.

Таким образом, личные сведения о каждом работнике содержатся у всех работодателей. Директор ни в коем случае не имеет права распространять имеющиеся данные о человеке.

Полученная информация о работающем контингенте может обрабатываться несколькими путями: при помощи вычислительной техники, с помощью личных сил, благодаря информационной системе оценивания.

Во всех случаях личные данные каждого работника проходят тщательное изучение.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

Автоматизированная и неавтоматизированная обработка персональных данных

Автоматизированная и неавтоматизированная обработка персональных данных

Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № согласно которому:

  • получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
  • длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
  • при утрате необходимости в обработке персданные должны быть уничтожены;
  • использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач. Этозначит, чтоавтоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
  • запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
  • оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.

Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн

Разобраться в том, что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.

В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:

  • сведения, при использовании которых не применяется вычислительная техника, должны быть обособленными и фиксироваться на бланках, в специальных формах или на других физических носителях;
  • не допускается объединение на одном носителе личной информации, которая будет обрабатываться для несовместимых целей, а для каждой категории ПДн необходима отдельная форма, бланк и т.д.;
  • обработка персональных данных считается неавтоматизированной, если осуществляется хранение, передача, уточнение и уничтожение сведений при непосредственном участии человека;
  • сотрудники, допущенные к неавтоматизированной обработке, предварительно информируются о требованиях работы с ПДн, наказании за их нарушение и внутренних правилах предприятия в этой области;
  • для получения согласия от субъектов ПДн могут применять типовые формы документов, где должны быть указаны цели обработки и виды собираемой информации;
  • по каждой категории сведений необходимо определить место размещения материального носителя и лицо, ответственное за обеспечение его безопасности. Дополнительно необходимо создать условия, в которых ПДн будут защищены от внешних и внутренних угроз.

Автоматизированная обработка персональных данных: что это и какие АС существуют

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.

На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.

Похожие публикации:
  1. Как перевести районный коэффициент в проценты
  2. Как получить справку о психическом расстройстве
  3. Невыплата заработной платы действия работника куда обратиться
  4. Неполная семья это какая семья по закону

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *