Остальное 08.01.2018
0 (0 голосов)

Сведения об обеспечении безопасности персональных данных. Основания и порядок обработки персональных данных работника. Цели обработки персональных данных на предприятии

Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного - САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

Какие условия необходимо соблюдать в отношении чувствительных персональных данных?

По крайней мере одно из перечисленных выше условий должно выполняться всякий раз, когда вы обрабатываете личные данные. Эти другие условия заключаются в следующем. Обработка необходима для защиты жизненно важных интересов: человека или другого человека. Обработка необходима, чтобы вы могли соблюдать трудовое право. . Примерами таких целей являются предотвращение или обнаружение преступлений и защита общественности от злоупотребления служебным положением или неправильного администрирования. В этой статье основное внимание уделяется одному из основных вопросов, обсуждаемых в заключении, а именно вопросу согласия в контексте занятости.

Основы основ

«Обработка персональных данных базируется на принципах законности и справедливости» - гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

На Мальте этот вопрос всегда был несколько серым. Из-за взаимоотношений между работодателями и работниками можно утверждать, что сотрудники очень редко могут отказаться от согласия на определенные виды обработки без того, что это потенциально может иметь какое-то отрицательное влияние на их статус занятости. Чтобы согласие было действительным, оно также должно быть отменено.

Сроки обработки и хранения персональных данных

Поэтому вполне вероятно, что согласие, предоставляемое сотрудниками, фактически не может быть «свободно предоставлено» и поэтому будет недействительным даже в отношении общих принципов мальтийского гражданского права. Из этого следует, что полагаться только на согласие с работником может помещать работодателей в ситуацию, когда они могут обрабатывать личные данные сотрудников незаконным образом. Насколько нам известно, этот конкретный момент никогда не проверялся мальтийскими судами, и ни одна из них не была опубликована на Мальте.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Из этого следует, что альтернативные юридические основания для обработки персональных данных сотрудника должны быть идентифицированы и применены работодателями. В общественных интересах или при осуществлении официальных полномочий, возложенных на контролера или в третьей стороне, которой раскрыты данные. Обработка необходима для целей, которые касаются законной заинтересованности диспетчера или такой третьей стороны, которой предоставляются персональные данные, за исключением случаев, когда такие проценты переопределены интересом для защиты основных прав и свобод субъекта данных и в частности право на неприкосновенность частной жизни. Способы, на которые работодатели могут ссылаться на законные основания, которые могут быть использованы работодателями для обработки личных данных без согласия, зависят от обстоятельств каждого дела. Поэтому работодателям рекомендуется добиваться юридических консультаций, прежде чем полагаться на такие основания для обработки персональных данных своих сотрудников. Основные основания как правило, следующие.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

Если сотрудник сделал данные общедоступными; или Если приняты соответствующие меры предосторожности, и обработка необходима для того, чтобы. Работодатель сможет выполнять свои обязанности или осуществлять свои права в соответствии с любым законом, регулирующим условия найма; или жизненно важные интересы субъекта данных или какого-либо другого лица будут защищены и субъект данных физически или юридически неспособен дать свое согласие; ордерные требования могут быть установлены, осуществлены или защищены. Еще раз следует отметить, что работодатели должны обращаться за юридической консультацией, прежде чем полагаться на такие основания.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Например, работодатели должны четко и полностью информировать своих сотрудников об обработке своих персональных данных. Кроме того, работодатели должны обеспечить, чтобы у них были все необходимые технические и организационные меры для обеспечения безопасности любой такой обработки.

Юридические основания для обработки - обзор. Обработка персональных данных является законной только в том случае, если и в той степени, в которой применяется хотя бы одно из следующих условий. Субъект данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:
  • наименование оператора;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные законом права субъекта персональных данных;
  • источник получения персональных данных.
Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:
  • Подтверждение факта обработки персональных данных оператором;
  • Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • Сроки обработки персональных данных;
  • Информацию об осуществленной или о предполагаемой трансграничной передаче данных;
2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

Обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора. Обработка необходима для соблюдения юридического обязательства, которому подвержен контроль.

Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица. Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера.

Обработка необходима для целей законных интересов, проводимых контролером или третьей стороной, за исключением случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, когда субъект данных является ребенок.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В каких случаях нужно согласие на обработку персональных данных

Крайне важно, чтобы соответствующая правовая основа использовалась для каждой обрабатывающей деятельности. Это особенно важно, когда речь идет о согласии. Организации, как правило, полагаются на согласие, когда это фактически не требуется. Согласие слишком часто и ошибочно рассматривается как безопасное убежище. Компании считают, что, если они получили согласие, обработка законна. Однако это не всегда так. Использование согласия, когда требуется использование другой земли, может привести к незаконной обработке персональных данных.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Согласие будет дополнительно рассмотрено в отдельном выпуске этой серии. Соблюдение юридического обязательства и выполнение задач, представляющих общественный интерес. Государства-члены могут вводить более конкретные правила обработки персональных данных для этих целей.

Государственные органы, обрабатывающие персональные данные при выполнении своих задач, не могут полагаться на законные интересы. Благодаря новым правилам защиты данных законодательный орган хочет обеспечить информирование субъектов данных об эксплуатации и распространении своих персональных данных. Пострадавший должен иметь возможность определить, что хранится в нем. Но какие права у него есть в конкретных терминах?

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от трехсот до пятисот рублей;
  • на должностных лиц - от пятисот до одной тысячи рублей;
  • на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС

Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны
  • хранить и актуализировать все данные на серверах в РФ (первичная БД)
  • указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)
Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

Данные обрабатываются на законных основаниях добросовестно и в порядке, приемлемом для субъекта данных, и могут собираться только в установленных, недвусмысленных и законных целях. Данные должны быть подходящими и существенными для этой цели, а также быть ограничены тем, что необходимо для целей обработки. Этот принцип суждения данных, уже закрепленный в Федеральном законе о защите данных, рассматривается как один из центральных принципов.

Лица, чьи данные обрабатываются, имеют право на определенную информацию, включая, по крайней мере, следующее. Имена и контактные данные диспетчера, ответственного за обработку персональных данных, а также правовую основу для обработки доверенных прав данных, за которыми следует лицо, ответственное или третье лицо, не более получателей и намерение ответственного лица в третью страну или международную организацию, для которой хранятся личные данные. Информация о автоматизированном принятии решений, в том числе профилирующая информация о правах, которые они имеют в качестве жертв, также означает, что существует право на обращение в надзорный орган. Затронутые лица могут потребовать от ответственного лица подтвердить, обрабатываются ли персональные данные, а также цели обработки, категории данных и получатели.

На этом все, коллеги. Да прибудет с вами милость Эру!

Материал из RSU WiKi

Введение

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» - федеральный закон , регулирующий деятельность по обработке (использованию) персональных данных .

Некоторые функции по осуществлению своих прав должны предлагаться пользователям в электронном виде, Например, как и как обрабатываются данные, а также информация о праве на объекты, возражения или удаления. Информация для пострадавшего лица должна предоставляться по запросу в течение одного месяца и быть бесплатной согласно В случае явно необоснованного или, в частности, в случае частого повторения может потребоваться соответствующее вознаграждение за административные расходы или отказ от действий на основании запроса.

Согласие субъекта данных

Субъект данных имеет подтвержденное согласие на обработку персональных данных, касающихся его для точно определенных целей. Требуется для выполнения контракта или другого юридического обязательства защищать законные интересы лица, ответственного или третьего лица, для защиты жизненно важных интересов субъекта данных для выполнения задачи, которая находится в общественных интересах или осуществляется властями. Контролер несет бремя доказывания того, что субъект данных дал свое согласие на обработку своих персональных данных для четко определенных целей.

Подача уведомления об обработке персональных данных

  • Уведомление об обработке (о намерении осуществлять обработку) персональных данных

При подготовке уведомления необходимо, в первую очередь, исходить из принципов обработки персональных данных, прописанных в ст.5 ФЗ № 152 «О персональных данных». Основным моментом данных принципов, отправной точкой, являются цели обработки персональных данных. Именно в соответствии с целями обработки должны быть определены характер и объем обрабатываемых персональных данных, способы обработки и в том числе уничтожение данных.

Ответственное лицо должно общаться на понятном и понятном языке в ясной и легкодоступной форме, требующей письменного согласия. Это должно быть внешне распознано отдельно от других фактов. Затронутое лицо имеет право отозвать свое согласие в любое время, что не делает обработку данных до сих пор незаконной. Субъект данных должен быть проинформирован об этом до получения согласия. Отзыв согласия должен быть таким же простым, как предоставление согласия.

В случае интернет-услуг для детей обработка персональных данных ребенка является законной, если ребенку исполнилось шестнадцать лет. В противном случае требуется согласие родителя на родительскую ответственность за ребенка. Обработка персональных данных, которые раскрывают расовое или этническое происхождение, политические мнения, убеждения или убеждения или обработку генетических данных, биометрические данные для однозначной идентификации физического лица, данные о здоровье или данные о половой жизни или сексуальной ориентации физическое лицо запрещено.

На основании п. 3 ст. 22 Федерального закона «О персональных данных» Россвязькомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Рекомендации по заполнению уведомления об обработке.

Право на доступ, исправление и возражение

Обработка разрешена, если субъект данных явно дал согласие на обработку таких данных или опубликовал его четко. Соответствующие лица имеют право на передачу данных, т.е. для доступа к данным в структурированном стандартном и машиночитаемом формате. Вы имеете право передавать эти данные другому ответственному лицу, при условии, что обработка осуществляется по соглашению или по договору и обработке с помощью автоматизированных процедур.

Заинтересованные лица имеют право потребовать от ответственного лица незамедлительно исправить любые неправильные личные данные, в случае необходимости, посредством дополнительной декларации. Заинтересованное лицо может также потребовать от лица, ответственного за ограничение обработки, Например, если личные данные неверны или обработка является незаконной.

В настоящее время действует приказ от 16 июля 2010 года № 482 «Об утверждении образца формы уведомления об обработке персональных данных». Данным приказом утверждена форма и рекомендации по ее заполнению.

Во-первых, согласно рекомендациям, уведомление должно быть оформлено на бланке оператора. По правилам делопроизводства документ должен быть зарегистрирован и иметь исходящий номер и дату. Во-вторых, помимо полного наименования оператора требуется указывать и сокращенное, причем в ТОЧНОМ соответствии с учредительными документами. Обязательно указание адреса юридического лица .

Наименование оператора

  • не указан (не полностью указан) адрес оператора (например, не указаны почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются), ИНН
  • несоответствие полного наименования организации на бланке и (или) печати и в уведомлении. Необходимо точное соответствие.

Правовое основание обработки персональных данных

При заполнении данного поля должны быть как минимум указаны: ст.85-90 Трудового Кодекса РФ (так как производится обработка персональных данных сотрудников, состоящих в трудовых отношениях с юридическим лицом), Устав (Положение) юридического лица (дата, номер, кем утвержден), если деятельность лицензируемая - номер, дата лицензии. Кроме того, оператор сейчас обязан руководствоваться Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных». Помимо перечисленных документов, должны быть указаны свои отраслевые нормативно-правовые акты, которыми руководствуется юридическое лицо, обрабатывая персональные данные, с указанием статей и пунктов .

  • Конституция РФ (ст. 23-24, ч.1 ст.26);
  • Трудовой кодекс РФ (ст. 65, ст.85-90);
  • Гражданский кодекс РФ;
  • Закон РФ "Об образовании" от 10.07.1992 N 3266-1;
  • Федеральный закон от 01.04.1996 №27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" (ст. 7-9);
  • Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" (ст.5-22);
  • Федеральный закон от 27.08.2006 г. №149-ФЗ Об информации, информационных технологиях и о защите информации;
  • Федеральный закон от 22.10.2004 №125-ФЗ "Об архивном деле в Российской Федерации" (ред. от 13.05.2008);
  • Федеральный закон от 22.09.1996 г. N 125-ФЗ "О высшем и послевузовском профессиональном образовании";
  • Приказ Минобрнауки РФ от 21.10.2009 №442 "Об утверждении Порядка приема граждан в имеющие государственную аккредитацию образовательные учреждения высшего профессионального образования" (Зарегистрировано в Минюсте РФ 10.12.2009 №15495);
  • Приказ Минобрнауки РФ от 15.04.2009 №133 "Об утверждении Порядка формирования и ведения федеральных баз данных и баз данных субъектов Российской Федерации об участниках единого государственного экзамена и о результатах единого государственного экзамена, обеспечения их взаимодействия и доступа к содержащейся в них информации" (Зарегистрировано в Минюсте РФ 29.06.2009 №14147)
  • Постановление Правительства РФ «Об утверждении Положения о воинском учете» от 27.11.2006 № 719 (разделы III, VI);
  • Устав учреждения... (утвержден приказом Министерства образования и науки Российской Федерации от...);
  • Лицензия от..., серия..., регистрационный номер...;
  • Положение об архиве... от...;

Цель обработки персональных данных

По сути, цель обработки - указана в учредительных документах. Это цель деятельности оператора, причем необходимо исходить из того, что по законодательству, если цель обработки достигнута, персональные данные должны быть уничтожены. Необходим здравый смысл и подход при формулировании цели обработки, не следует, к примеру, перечислять какие-то узкие задачи деятельности .

  • удовлетворение потребностей личности в интеллектуальном, культурном и нравственном развитии посредством получения высшего и послевузовского профессионального образования;
  • удовлетворение потребностей общества и государства в квалифицированных специалистах с высшим и средним профессиональным образованием, в научно-педагогических кадрах высшей квалификации;
  • подготовка, переподготовка и повышение квалификации работников с высшим образованием, научно-педагогических работников высшей квалификации, руководящих работников и специалистов по профилю вуза;
  • распространение знаний среди населения, повышение его образовательного и культурного уровня;
  • выполнение требований законов и других нормативных правовых актов РФ;
  • обработка персональных данных для целей кадрового делопроизводства;
  • обеспечение выполнения условий трудового договора;
  • выполнение требований закона о воинском учёте;
  • создание условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица;
  • создание условий для начисления заработной платы, оплаты листков нетрудоспособности, пособий и предоставления льгот, установленных законодательством;
  • создание условий, требуемых законом для подготовки документов для присуждения учёной степени, присвоении учёного звания, прохождения конкурсного отбора.

Категории обрабатываемых персональных данных

Во-первых, не следует давать определение понятия «персональные данные». Вам необходимо указать именно те категории, которые обрабатываются непосредственно вашим учреждением. Не следует также просто перечислять обобщенные категории (например: биометрические, специальные ПД). Необходимо проанализировать, какие именно данные используются в вашем учреждении, причем не следует забывать и о том, что также используются сведения, полученные при работе с обращениями граждан, при административном делопроизводстве .

Категории субъектов, персональные данные которых обрабатываются

Указываются категории субъектов (физические лица) и виды отношений с ними. Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица, состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором). Если заполняется унифицированная форма Т2 в кадрах, то там есть поле о сведениях о ближайших родственниках, поэтому помимо работников нужно указывать еще и членов их семьи в качестве категории субъектов, потому что их персональные данные также обрабатываются в организации.

В данном поле зачастую указываются не все даже очевидные сведения, например: логично предположить, что в образовательном учреждении обрабатываются персональные данные не только сотрудников и обучающихся, но и родителей обучающихся. Также часто не указывается такая категория, как граждане, обратившиеся с жалобами, обращениями и лица при подготовке и рассмотрении дел об административных правонарушениях .

  • Работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (соискатели должности; абитуриенты, студенты, бывшие струдники), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором);

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

  • сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), уничтожение.

Описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

К организационным мерам можно отнести: принятие локальных нормативных актов (внутренних документов – приказов, положений, регламентов, перечней сведений и т.д.) организации

К техническим мерам можно отнести:

  • защита от несанкционированного физического доступа к информации (хранение персональных данных в закрытых шкафах, ящиках, сейфах),
  • защита паролем компьютеров с персональными данными,
  • использование системы паролей при работе в сети (портале)
  • ограничение доступа к компьютерной технике для определенных категорий работников,

При смешанной обработке указывается перечень мер по обеспечению безопасности персональных данных на бумажных носителях и на электронных носителях .

  • Защита от несанкционированного физического доступа к информации (хранение ПД в закрытых шкафах, ящиках, сейфах), защита паролем компьютеров с персональными данными, использование системы паролей при работе в сети, ограничение доступа к компьютерной технике, использование межсетевых экранов.

Дата начала обработки персональных данных

Необходимо указать конкретную фактическую дату начала совершения действий с персональными данными .

  • Дата основания организации или дата присвоения ИНН.

Условие прекращения обработки персональных данных

Необходимо указать конкретную дату или основание (условие), наступление которого повлечет прекращение обработки персональных данных – например «ликвидация юридического лица», «аннулирование лицензии на осуществление соответствующего вида деятельности» .

  • Прекращение деятельности юридического лица.

Сертифицированное ПО

Способы удешевления сертификации:

  1. Перевод рабочих мест, обслуживающих и хранящих ПД на клиент-серверные технологии, например Microsoft Terminal Services; т.о. можно сократить затраты на приобретение спец. ПО в разы;

Kaspersky BusinessSpace Security Certified Media Pack

В состав Certified Media Pack входят сертифицированные ФСТЭК России (по 3 классу защиты по уровню контроля отсутствия НДВ) приложения для MS Windows, возможные к поставке с соответствующими продуктами линейки Open Space Security.



Советуем почитать



Похожие записи