На кого распространяется действие закона о персональных данных сдо ржд

Новое о персональных данных

С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Сколько согласий запрашивать?

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;

или в срок, указанный в постановлении суда;

или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Оформление согласия

Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.

Ректору
ФГБОУ ПО «Самарский государственный университет»
Владимирову Владимиру Владимировичу,
адрес местонахождения 123456, Самара, ул. Самарская, д. 1
ОГРН: 1234567890123 ИНН: 1234567890
ОКВЭД: 12.34 ОКПО: 12345678
ОКОГУ: 1234567 ОКОПФ: 12300 ОКФС: 12

От Иванова Ивана Ивановича,
паспорт серии 12 34 № 123456 выдан 12 января 2000 года
ОВД Самарского района г. Самары,
зарегистрированного по адресу 123456, Самара,
ул. Ленина, д. 1, кв. 23.
Адрес электронной почты:
ivanov@yandex.ru
Номер телефона:
+7 (123) 456-78-90

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Настоящим я, Иванов Иван Иванович, руководствуясь статьей 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», заявляю о согласии на распространение ФГБОУ ПО «Самарский государственный университет» моих персональных данных с целью размещения информации обо мне на официальном сайте ФГБОУ ПО «Самарский государственный университет» в следующем порядке:

Категория персональных данных

Перечень персональных данных

Разрешаю к распространению (да/нет)

Разрешаю к распространению не-ограниченному кругу лиц (да/нет)

Условия и запреты

Дополнительные условия

Общие персональные данные

Фамилия

Да

Да

Имя

Да

Да

Отчество

Да

Да

Год рождения

Нет

Нет

Месяц рождения

Да

Да

Дата рождения

Да

Да

Место рождения

Да

Нет

Адрес

Нет

Нет

Семейное положение

Да

Нет

Только сотрудникам отдела кадров

Образование

Да

Нет

Профессия

Да

Нет

…

…

…

Специальные категории персональных данных

Состояние здоровья

Да

Нет

Только сотрудникам отдела кадров

Сведения о судимости

Да

Нет

Только сотрудникам отдела кадров

…

…

…

Биометрические персональные данные

Цветное цифровое фотографическое изображение лица

Да

Да

…

…

…

Сведения об информационных ресурсах Оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных:

Информационный ресурс

Действия с персональными данными

https://sgu-sgu@.ru/

Предоставление сведений неограниченному кругу лиц

https://corp.sgu-sgu@.ru/

Предоставление сведений сотрудниками организации

…

…

Настоящее согласие дано мной добровольно и действует с 01.03.2021 по 31.12.2021.

Оставляю за собой право потребовать прекратить распространять мои персональные данные. В случае получения требования Оператор обязан немедленно прекратить распространять мои персональные данные, а также сообщить перечень третьих лиц, которым персональные данные были переданы.

«01» марта 2021 г. Иванов Иванов И. И.

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.

Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:

Что такое распространение персональных данных ответ СДО РЖД

В современном информационном обществе вопросы распространения и защиты персональных данных становятся все более актуальными. Особенно это касается организаций, которые собирают и обрабатывают большое количество личной информации о своих пользователей. Одной из таких организаций является Система диспетчерского обслуживания Российских Железных Дорог (СДО РЖД).

В связи с возросшей озабоченностью общества вопросами безопасности и защиты персональных данных, СДО РЖД выступила с ответом на опасения и вопросы своих пользователей. Компания подчеркивает, что она строго соблюдает законодательство Российской Федерации в отношении обработки и хранения персональных данных. Она активно работает над повышением защиты информации о пользователях и улучшением процедур безопасности.

СДО РЖД уделяет вопросам защиты персональных данных особое внимание и применяет правовые, организационные и технические меры для обеспечения их безопасности.

Ответ СДО РЖД говорит о том, что компания осознает важность вопросов безопасности и защиты персональных данных. Она признает, что каждому пользователю необходимо быть уверенным в том, что его персональные данные будут надежно защищены и не будут распространены без его согласия. В своем ответе организация подчеркивает, что принимает все меры для того, чтобы предотвратить несанкционированный доступ к личной информации своих клиентов.

СДО РЖД против распространения персональных данных

Система дистанционного обучения (СДО) РЖД является одной из ключевых платформ для обучения сотрудников железнодорожной отрасли. Однако, в связи с распространением персональных данных, СДО РЖД принимает меры для защиты информации и сохранения конфиденциальности.

СДО РЖД предоставляет широкие возможности для обучения и повышения квалификации персонала. Пользователи имеют доступ к различным курсам и материалам, которые помогают им освоить новые навыки, подготовиться к сертификационным экзаменам и выполнить свои профессиональные обязанности более эффективно.

Однако, важно отметить, что доступ к персональным данным пользователей СДО РЖД строго ограничен. Администраторы системы обладают правами доступа только к той информации, которая необходима для обеспечения ее нормального функционирования. Личные данные пользователей, такие как ФИО, паспортные данные или реквизиты банковских карт, ни при каких условиях не передаются третьим лицам.

Соблюдение требований законодательства в области защиты персональных данных – одна из главных задач СДО РЖД. Вся информация о пользователях хранится в зашифрованном виде и доступна только специалистам, отвечающим за безопасность и поддержку СДО РЖД. Для предотвращения недобросовестного использования информации применяются современные технические средства и системы безопасности.

Кроме того, в СДО РЖД также предусмотрены специальные меры по обеспечению безопасности во время проведения онлайн-тестирования и сдачи экзаменов. Это включает уникальные идентификаторы пользователей, пароли и кодовые комбинации, предотвращающие несанкционированный доступ к системе и защищающие конфиденциальность пользователей.

Таким образом, СДО РЖД принимает все необходимые меры для защиты персональных данных пользователей и обеспечения их конфиденциальности. При использовании данной системы, сотрудники железнодорожной отрасли могут быть уверены в сохранении своей личной информации и безопасности во время обучения и повышения квалификации.

Становление и значение системы обработки данных в РЖД

Система обработки данных (СОД) в РЖД имеет большое значение и прошла длительный путь развития. Она позволяет собирать, хранить и обрабатывать информацию о различных аспектах деятельности компании, включая персональные данные сотрудников и клиентов. К самым важным пунктам развития системы обработки данных в РЖД можно отнести следующие:

Внедрение современных технологий. Система обработки данных в РЖД не была создана одним днем, она постепенно развивалась и совершенствовалась вместе с появлением новых технологий. Внедрение современных IT-решений позволило автоматизировать процессы обработки информации и значительно ускорить работу с данными.
Защита персональных данных. Важным аспектом развития системы обработки данных в РЖД является обеспечение безопасности персональной информации клиентов и сотрудников. РЖД активно внедряет средства защиты, соответствующие требованиям Федерального закона «О персональных данных», чтобы гарантировать конфиденциальность и неприкосновенность данных.
Централизация данных. СОД РЖД позволяет централизованно хранить и обрабатывать информацию из разных источников. Это существенно упрощает доступ к данным и обеспечивает своевременное и точное предоставление необходимой информации.
Доступность и удобство использования. Еще одним важным аспектом развития системы обработки данных в РЖД является создание удобных и понятных интерфейсов для работы с информацией. Это не только облегчает работу сотрудникам, но и позволяет клиентам получить необходимую информацию о своих заказах или персональных данных.

Для осуществления своей деятельности компания РЖД активно использует различные системы обработки данных, включая системы учета персонала, регистрации и контроля доступа, мониторинга и управления движением поездов и другие. Эти системы взаимодействуют друг с другом и обеспечивают эффективную работу компании.

Таким образом, система обработки данных в РЖД играет важную роль в деятельности компании. Она помогает собирать и анализировать информацию, что позволяет принимать обоснованные решения, повышать эффективность работы и обеспечивать безопасность данных.

Защита персональных данных в СДО РЖД

Система дистанционного обучения (СДО) РЖД имеет большое значение для обучения сотрудников и повышения их профессионального уровня. Однако, важно отметить, что в процессе использования СДО РЖД могут обрабатываться и распространяться персональные данные пользователей. Поэтому обеспечение защиты персональных данных является приоритетной задачей для РЖД.

Законодательство Российской Федерации устанавливает требования к защите персональных данных и обязывает владельцев информационных систем предпринимать меры для предотвращения несанкционированного доступа к персональным данным и их утечки.

СДО РЖД разработана с соблюдением современных технологий и стандартов безопасности. В системе применяются следующие меры защиты персональных данных:

Шифрование: Критически важные данные, такие как пароли и логины пользователей, шифруются для предотвращения несанкционированного доступа. Также, вся передаваемая информация между пользователем и СДО РЖД защищена шифрованием, чтобы минимизировать риск перехвата.
Аутентификация и авторизация: Пользователи СДО РЖД проходят процедуру аутентификации, чтобы подтвердить свою личность. Кроме того, различные уровни доступа предоставляются в зависимости от роли пользователя.
Мониторинг: В системе регулярно проводится мониторинг для выявления и предотвращения любых аномалий и атак. Это позволяет оперативно реагировать на угрозы безопасности и принимать соответствующие меры.
Обучение и осведомленность: Все пользователи СДО РЖД обучаются и осведомляются о правилах и требованиях безопасности. Регулярные тренинги, направленные на обучение пользователям правилам защиты персональных данных, помогают повысить уровень осведомлённости.

Все сотрудники РЖД, имеющие доступ к персональным данным, несут ответственность за их безопасное хранение и использование. Для обеспечения защиты персональных данных в СДО РЖД, политика безопасности постоянно обновляется и соответствует требованиям законодательства.

Таким образом, защита персональных данных в СДО РЖД осуществляется с помощью шифрования информации, аутентификации и авторизации пользователей, мониторинга системы и обучения сотрудников. Эти меры обеспечивают безопасность персональных данных и устанавливают высокий уровень конфиденциальности в СДО РЖД.

Законодательные основы работы СДО РЖД

Работа Системы Диспетчерского Обеспечения (СДО) РЖД регулируется несколькими законодательными актами, которые устанавливают правила по обработке и распространению персональных данных.

1. Конституция Российской Федерации

Конституция РФ является основным законом, в котором закреплены базовые права и свободы граждан, включая право на защиту своей частной жизни и персональных данных. СДО РЖД обязано соблюдать принципы конституционной защиты данных.

2. Федеральный закон «О персональных данных»

Этот закон устанавливает правовые основы работы с персональными данными. СДО РЖД обязано соблюдать требования закона, включая принципы легитимности и справедливости при обработке данных, а также обязанность получать согласие на их использование.

3. Постановление Правительства РФ № 687 «О порядке обработки персональных данных»

Это постановление устанавливает конкретные правила обработки персональных данных, включая требования к их хранению, передаче и защите. СДО РЖД обязано соблюдать данные требования и обеспечивать безопасность персональных данных, используемых в системе.

Роль СДО РЖД в борьбе с утечкой и неправомерной обработкой данных

Система диспетчерского обеспечения (СДО) РЖД играет важную роль в обеспечении безопасности и защите персональных данных пассажиров и клиентов компании. Она разрабатана для эффективного управления железнодорожным движением, но также является мощным инструментом для предотвращения утечек и неправомерной обработки данных.

Система позволяет контролировать доступ к персональным данным, устанавливать права доступа только уполномоченным сотрудникам и отслеживать все операции с данными, что позволяет быстро выявлять и реагировать на возможные угрозы безопасности.

Для борьбы с утечкой персональных данных СДО РЖД осуществляет следующие действия:

Мониторинг доступа и аудит. Система регистрирует все операции с данными и сохраняет их в журнале аудита. Это позволяет контролировать действия сотрудников и быстро выявлять возможные нарушения безопасности.
Шифрование данных. Все персональные данные, передаваемые или хранимые в СДО РЖД, шифруются, что обеспечивает их защиту от несанкционированного доступа или использования.
Усиленные меры безопасности. СДО РЖД применяет различные технические и организационные меры безопасности для предотвращения утечки данных, включая контроль доступа, аутентификацию, антивирусную защиту и физическую защиту серверов.

Благодаря этим мерам СДО РЖД обеспечивает высокий уровень безопасности персональных данных и защищает их от утечек и неправомерной обработки. Компания активно работает над улучшением системы и совершенствованием мер безопасности для эффективной борьбы с современными угрозами информационной безопасности.

Связь СДО РЖД с аспектами информационной безопасности

Система дистанционного обучения (СДО) РЖД имеет прямую связь с аспектами информационной безопасности. Учитывая, что СДО РЖД включает в себя базу персональных данных, безопасность обработки и распространения этих данных является важным аспектом работы системы.

Для обеспечения информационной безопасности в СДО РЖД применяются следующие меры:

Аутентификация и авторизация пользователей. Пользователям предоставляются уникальные логины и пароли для входа в систему. Также могут использоваться дополнительные методы аутентификации, например, коды доступа или биометрические данные.
Шифрование данных. При передаче и хранении персональных данных в СДО РЖД используется шифрование. Это позволяет защитить данные от несанкционированного доступа.
Мониторинг активности пользователей. Для выявления подозрительной активности и предотвращения несанкционированного использования системы СДО РЖД, проводится мониторинг действий пользователей.
Резервное копирование данных. В случае возникновения сбоев или потери данных, в СДО РЖД регулярно производится резервное копирование данных. Это позволяет восстановить работу системы и предотвратить потерю информации.
Обновление системы и установка защитных обновлений. Для обеспечения безопасности работы СДО РЖД регулярно проводятся обновления системы и установка защитных обновлений. Это позволяет защитить систему от известных уязвимостей и угроз.

Благодаря применению данных мер безопасности, СДО РЖД обеспечивает защиту персональных данных и предотвращает несанкционированный доступ к этим данным. Таким образом, система выполняет требования законодательства о персональных данных и обеспечивает высокий уровень информационной безопасности.

Востребованность системы обработки данных в РЖД: перспективы развития

Система обработки данных в РЖД является важным инструментом для эффективного функционирования железнодорожной компании. Благодаря современной информационной системе, РЖД может собирать, хранить и обрабатывать огромные объемы данных, необходимых для прогнозирования и принятия стратегических решений.

Одной из основных причин, почему система обработки данных в РЖД востребована, является необходимость оптимизации процессов железнодорожной компании. С помощью данной системы возможно провести анализ потоков пассажиров и грузов, определить наиболее загруженные маршруты и участки пути. Эта информация позволяет РЖД максимально эффективно использовать имеющиеся ресурсы и повысить общую производительность системы.

Кроме того, система обработки данных в РЖД имеет большое значение с точки зрения безопасности. Благодаря современным технологиям анализа данных, компания может выявлять потенциальные угрозы и принимать меры для их предотвращения. Это включает в себя не только обнаружение взломов и кибератак, но и предотвращение внутренних преступлений и нарушений правил безопасности.

В свете развития Интернета вещей и автоматизации процессов, система обработки данных в РЖД становится еще более актуальной. С помощью данной системы возможно собирать данные с различных устройств и анализировать их для оптимизации работы железнодорожной инфраструктуры. Например, с помощью датчиков можно отслеживать состояние инфраструктуры и автоматически производить ремонтные работы при необходимости.

Еще одной перспективой развития системы обработки данных в РЖД является возможность использования искусственного интеллекта. С помощью машинного обучения и алгоритмов искусственного интеллекта возможно проводить более точный и глубокий анализ данных, что позволяет принимать более обоснованные решения. Например, на основе данных о загруженности маршрутов можно предсказывать будущий спрос и адаптировать график движения поездов.

Преимущества системы обработки данных в РЖД:

В целом, система обработки данных в РЖД имеет большую востребованность как инструмент для повышения эффективности и безопасности железнодорожных перевозок. Перспективы развития данной системы включают в себя увеличение количества собираемых данных, применение новых технологий анализа и возможность автоматического управления инфраструктурой на основе полученной информации.

Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Каковы же персональные данные – изменения 2022 и как выполнить требования, которые привнесли изменения по персональным данным в работу компаний, обсудим в статье.

Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе .

Скачайте образцы документов для работы:

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ ).

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона № 152-ФЗ , которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

назначить ответственное лицо (структурное подразделение) за обработку ПД;

издать и опубликовать политику по персданным;

осуществлять внутренний контроль ( аудит ) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД);

Чек-лист, какие документы нужно проверить при аудите ПД, скачайте здесь.

оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Какие правовые, организационные и технические меры с учетом изменений по персональным данным должен принимать работодатель при обработке ПД, разъяснят наши опытные консультанты .

Уведомление в Роскомнадзор

В новой редакции Закона № 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ

В уведомлении больше не указывают общие сведения о:

категории субъектов ПД;

правовое основание обработки ПД;

перечень действий с ПД, общее описание используемых оператором способов обработки ПД.

Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ ):

оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

ПД используют по закону о транспортной безопасности.

Сокращенные сроки

Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона № 152-ФЗ ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):

ответ на запросы субъекта ПД;

отказ субъекту в предоставлении ПД;

ответ на запросы Роскомнадзора.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД . Теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона № 152-ФЗ ):

цель обработки персональных данных;

перечень ПД, на обработку которых дается согласие их субъекта;

наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными и их виды.

Правила работы с биометрическими данными

Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.

Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона № 152-ФЗ ).

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона № 152-ФЗ ):

категории и перечень ПД;

категории субъектов ПД;

способы и сроки их обработки и хранения;

порядок уничтожения ПД.

Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила поручения обработки другому лицу

Оператор может поручать обработку ПД другому лицу. Для этого нужно:

договор с лицом, которому передается обработка;

перечень ПД в поручении;

документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ ).

Порядок обработки ПД иностранными лицами

Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона № 152-ФЗ ).

При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 Закона 266-ФЗ ).

Перечень нормативных правовых актов, которые обязательны при обработке ПД, скачайте по ссылке

Совет

Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Выясните, почему опасно использовать типовые шаблоны при работе с персданными.

Уточните общие требования по составлению ЛНА об обработке ПД.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

уведомление до начала обработки ПД;

уведомление о прекращении обработки ПД (в течение 10 рабочих дней с даты прекращения обработки персданных);

уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД ( Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).

Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1 Закона 266-ФЗ ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 Закона 266-ФЗ ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в « Конвенции о защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 № 274 . Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Алгоритм действий работодателя при планируемой трансграничной передаче скачайте здесь

Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 4 ст. 12 Закона № 152-ФЗ ):

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ , будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

Сведения от иностранной организации и органов власти до трансграничной передачи ПД:

данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;

информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;

Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.

сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируют трансграничную передачу ПД (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Как уведомлять Роскомнадзор, что изменить в Политике по обработке персданных и в Положении о персданных, что учесть при разработке нового согласия на обработку персданных, узнаете на нашем курсе .

Что такое персональные данные Сдо ржд?

В соответствии с 152-ФЗ, персональными данными является абсолютно любая информация, которая относится к определённому или определяемому (прямо или косвенно) физическому лицу. . Субъекты могут сами принимать решение о предоставлении ПДн и рассчитывать на защиту от государства при нарушении их прав.

Что такое Сдо в ржд?

СДО РЖД представляет собой не что иное, как систему дистанционного обучения сотрудников этой транспортной компании. . Тем не менее, СДО РЖД тестирование работников РЖД располагает массой преимуществ, которые следует рассмотреть подробнее.

Что такое обработка персональных Сдо?

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, .

Что такое распространение персональных данных?

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф. И. О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Что является персональными данными по 152 ФЗ?

3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных).

Какая информация о физическом лице относится к персональным данным?

Вопрос: Что относится к персональным данным? Ответ: Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как зайти в Сдо?

Зайти на официальный сайт СДО РЖД.
В форме авторизации нажать на кнопку «Регистрация».
Указать табельный номер сотрудника и СНИЛС.
Дважды ввести действующий электронный адрес.
Получить письмо на почту с паролем для доступа к системе.

Как зайти в Каскор ржд?

Портал КАСКОР РЖД https://kaskor.rzd.ru/

Чтобы войти в личный кабинет, требуется вести логин и пароль, присвоенные в ходе регистрации. Авторизованному пользователю портала открывается перечень обучающих программ.

Как разблокировать учетную запись в Сдо ржд?

Введите адрес электронной почты или имя пользователя и нажмите кнопку “восстановить”. Новые данные для входа придут на зарегистрированный почтовый ящик.
При отсутствии почты необходимо ввести персональный табельный номер и СНИЛС.

Чем может быть ограничено право субъекта на доступ к персональным данным?

14 закона о персональных данных). Право субъекта на доступ к его персональным данным может быть ограничено только в строго определенных случаях – например, когда: обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; . 14 закона о персональных данных).

Что подразумевается под конфиденциальности персональных данных Сдо?

Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) и которая может быть использована для идентификации определенного лица либо связи с ним.

Какие персональные данные относятся к категории специальных?

о расовой и национальной принадлежности,
о политических, религиозных или философских воззрениях;
о состояния здоровья гражданина или его интимной жизни.

Какое наказание за использование персональных данных?

13.11 КоАП РФ предусмотрено, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц — от пятисот до .

Какое наказание за разглашение персональных данных?

Ответственность за разглашение персональных данных по 137 УК РФ Разглашение персональных данных 137 УК РФ — указанная статья закона квалифицирует данное деяние как преступное, влекущее за собой уголовную ответственность.

Можно ли распространять персональные данные?

Введено новое понятие «персональные данные, разрешенные для распространения». . Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные.