Понятие персональных данных защита персональных данных

Информационная поддержка по вопросу: "Понятие персональных данных защита персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Защита персональных данных работника

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, персональные данные работников – любая информация, необходимая работодателю в связи с трудовыми отношениями и относящаяся прямо или косвенно к конкретному работнику ( субъекту персональных данных) .

Требования к защите персональных данных работника

Требования к защите персональных данных работника, а также ответственность за их нарушение, установлены гл. 14 ТК РФ.

Ст. 86 ТК РФ определяет, что в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

    1. обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
    2. при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Кодексом и иными федеральными законами;
    3. все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие . Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
    4. работодатель не имеет права получать и обрабатывать сведения о работнике , относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных (о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни);
    5. работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности;
    6. при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
    7. защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном Кодексом и иными федеральными законами;
    8. работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников , а также об их правах и обязанностях в этой области;
    9. работники не должны отказываться от своих прав на сохранение и защиту тайны;
    10. работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Исключения из данных требований могут быть предусмотрены Кодексом или иными федеральными законами.

Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований ТК РФ и иных федеральных законов (с т. 87 ТК РФ).

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

Права работников в целях обеспечения защиты персональных данных

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

Источник: http://jurkom74.ru/ucheba/zaschita-personalnich-dannich-rabotnika

Все о персональных данных

goldyg / Shutterstock.com

СОДЕРЖАНИЕ

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Такое широкое толкование позволяет относить к персональным данным практически любую информацию о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность – например, фотография, видеозапись или портрет (разъяснения Роскомнадзора от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав, а также совершаемые с ними действия (п. 2 ст. 3 закона о персональных данных).

Обработка персональных данных – любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона о персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (п. 11 ст. 3 закона о персональных данных).

С 1 июля 2017 года ужесточилась административная ответственность за нарушения, допущенные при обработке персональных данных. Рассмотрим подробнее, какие правила необходимо соблюдать при работе с ними и какая ответственность теперь грозит нарушителям.

Последняя актуализация: 30 августа 2017 г.

Документы по теме:

Читайте также:

Персональные данные: успеть обеспечить защиту!
Предпринимателей могут обязать хранить персональные данные граждан РФ на российских серверах не с 1 сентября 2016 года, как планировалось ранее, а уже с 1 сентября 2015 года.

Кибербезопасность и цифровой суверенитет: стимул или препятствие для развития IT-рынка?
Разберемся, как от киберугроз планируется защищать персональные данные, чего ждать от Доктрины информационной безопасности и каковы перспективы развития законопроекта о критической инфраструктуре.

Источник: http://www.garant.ru/actual/persona/

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

Читайте так же:  Комендантский час в жилом доме

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

Читайте так же:  Как подать отзыв на исковое заявление

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Источник: http://www.superjob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html

Закон о персональных данных, понятие, хранение и обработка персональных данных работников и граждан

Не всю информацию о человеке и его жизни можно распространять и публиковать в открытых источниках. С самого начала интернет-экспансии границы стираются и данные, которые должны передаваться только с разрешения человека, у него буквально «воруют». Рассмотрим детальнее, что такое персональные данные, что включает в себя это понятие, как хранятся данные с пометкой «ПД», что грозит за нарушение закона и несанкционированное распространение личной информации?

Нормативная база

Видео (кликните для воспроизведения).

Перечень законов о персональных данных:

Федеральный закон “О персональных данных” можно скачать здесь:

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

  1. имя;
  2. фамилия и паспортные данные;
  3. место и дата рождения;
  4. адрес прописки либо проживания;
  5. семейное положение;
  6. информация о доходах и задолженностях;
  7. специальность, профессия,
  8. информация о занятости;
  9. доходы.

Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”. Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность. Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Биометрические ПД

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Читайте так же:  Список документов для получения разрешения на оружие

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.

Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Обработка персональных данных

Защита персональной информации может обеспечиваться несколькими источниками права:

  • Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника;
  • Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере;
  • Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией и использование персональных данных возникают на протяжении всего рабочего процесса, между работодателем и сотрудником, между сотрудниками, а также третьими лицами. Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идёт уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ. Работодатель не может просто так требовать от сотрудника предоставить информацию. Оглашению подлежит лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Способы защиты личной информации и предохранительные меры

  • Ограниченный доступ к хранилищам и архивам материалов;
  • Верификация запрашивающего лица перед предоставлением информации;
  • Ознакомительный формат предоставления сведений;
  • Санкции и штрафы за нарушения правил.
  • Криптография и шифрование данных;
  • Создание отдельных серверов и каналов связи;
  • Уничтожение неактуальных материалов;
  • Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

  • Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
  • Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
  • Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

  • Разработка проекта алгоритма обработки персональных сведений;
  • Разработка системы согласия и отказа на обработку личных материалов;
  • Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
  • Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
  • Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
  • Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

  • историю посещений;
  • ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
  • какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
  • поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Сбор, хранение и обработка данных происходит в обязательном порядке. Если пользователь против – нужно покинуть ресурс, который собирает информацию. Продолжая работу с сайтом, пользователь даёт своё согласие на сбор данных.

Что делать, если данные используются без вашего согласия

В первую очередь просмотреть – являются ли они специальными ПД и запрещено ли их распространение. Если закон нарушен – в срочном порядке нужно обратиться в полицию с заявлением, где чётко указать обстоятельства и время кражи. Сослаться на статью 137 УК РФ. В зависимости от классификации и элементов преступления, можно рассчитывать на возмещение в виде выплаты, размером 1 000 – 50 000 рублей. Для должностных лиц штраф намного выше. Уголовная ответственность предусматривает лишение свободы сроком до 2 лет (максимальная мера пресечения).

Надеемся, что наша статья помогла читателю разобраться с вопросами ПД. Помните, что законы и права человека в РФ нарушаются ежедневно, а за помощью в правоохранительные органы обращаются только единицы. Если читатель стал жертвой или свидетелем кражи персональной информации – молчать нельзя. Сегодня это чужие права, завтра – ваши.

Источник: http://trud.guru/ohrana/personalnye-dannye.html

Понятие и виды персональных данных

Подтвердить разрешение на обработку персональных данных сейчас просят при заключении договоров, заполнении анкет, регистрации на сайтах. Большинство граждан соглашаются автоматически, хотя личная информация о человеке в руках недобросовестных лиц — мощное и опасное оружие. Статья рассказывает о том, что нужно знать о персональных данных, открывая доступ к ним 3-м лицам.

Персональные данные: что это, нормативная база

Операторы получают доступ к тому объему данных, который требуется для решения их задач. Они не имеют права хранить и использовать их после того, как цель достигнута. Например, наниматель должен уничтожить записи, анкеты — все, что относится к персональным данным работника, после его увольнения. В ином случае, грозит ответственность за разглашение персональных данных работника

Классификация персональных данных

ФЗ № 152 выделяет несколько видов персональных данных. Можно расположить их по степени «секретности», сложности в сборе и использовании 3-ми лицами:

Общие персональные данные

Общие персональные данные — это основная информация о человеке. К ним относят:

  • ФИО;
  • место прописки и проживания;
  • паспортные данные;
  • образование;
  • ИНН;
  • контактные данные;
  • сведения о работе;
  • размер доходов и т. д.

Не все из них по отдельности можно отнести к ПД. Например, закон точно не определяет, является ли номер телефона персональными данными. Роскомнадзор в ответе на обращения граждан пояснил, что только по номеру невозможно точно идентифицировать человека. Сам по себе он не персонален, а в связке с ФИО владельца и городом проживания относится к ПД. Поэтому неперсонифицированная рассылка смс-сообщений не считается нарушением ФЗ № 152.

Читайте так же:  Понятие международного судебного разбирательства

Общие ПД содержатся в паспорте, военном билете, дипломе, личной карточке сотрудника, трудовой книжке и т. д. Письменное разрешение не обязательно для получения этих данных, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты. Относительная простота доступа часто приносит проблемы субъектам ПД — обычным гражданам: от навязчивой рекламы до шантажа и подделок кредитных заявок.

Биометрические ПД

Биометрические данные — это физиологические и биологические характеристики субъекта: дактилоскопические изображения, группа крови, рост, цвет глаз, вес, анализ ДНК и т. д. Сюда относится и информация, которую можно получить по фото- или видеозаписи с человеком. Биометрические ПД часто необходимы при лечении или устройстве на работу в госорганы, оформлении заграничных паспортов и виз.

Специальные ПД

Раса и национальность, вероисповедание, философские убеждения, состояние здоровья, наличие судимостей, интимная жизнь, сексуальные предпочтения относятся к специальным данным. Они содержатся в медицинских справках, личных делах и т. д.

Специальные ПД требуются для участия в политической деятельности, вступления в вооруженные силы. Получить доступ к этим данным 3-и лица могут только с разрешения субъекта.

Зачем нужен закон о персональных данных? Ответ смотрите в видеосюжете:

Обезличенные ПД

Обезличенные ПД доступны для любого заинтересованного лица. Источниками информации могут быть:

Общедоступная информация, которая считается персональными данными, — это, например, доходы политических деятелей, представителей федеральной или муниципальной власти, чиновников на руководящих должностях.

Big Data, с одной стороны, прямо или косвенно указывают на человека, то есть попадают под определение ПД. Законодатели в то же время не рассматривают интернет-данные как собственность индивида, так как он не может их контролировать.

Источник: http://otdelkadrov.online/5841-ponyatie-vidy-personalnyh-dannyh

Что такое неприкосновенность частной жизни в России

На этой неделе в мире отметили день защиты персональных данных. “Ъ” собрал ответы на очевидные и не самые очевидные вопросы.

Ст. 3 Федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» определяет персональные данные как любую информацию, относящуюся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня в законе нет, что оставляет некоторый простор для толкования. Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность.

Ст. 10 закона вводит понятие специальных категорий персональных данных, к которым относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Ст. 11 определяет биометрические персональные данные как физиологические и биологические особенности человека, на основе которых можно установить его личность (физиологические параметры, фото- и видеоизображения).

Нет. Только те, которые позволяют установить личность и используются для установления личности.

Как пояснил Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных), не является персональными данными, в частности, ксерокопия паспорта, предоставляемая при заключении договора с банком, фотография в личном деле или рентгеновские и флюорографические снимки (во всех этих случаях личность человека уже известна и эти данные не используются для ее установления).

Аналогичная ситуация и с видеосъемкой в общественных местах или на охраняемой территории. До передачи материалов в компетентные органы для установления личности снятого человека она не считается биометрией.

При этом фотоизображения на пропусках суды признают биометрическими данными, и для их использования необходимо письменное согласие гражданина (см. Определение Верховного суда РФ от 05.03.2018 №307-КГ18–101 по делу №А42–342/2017).

Да, сведения о заработной плате работника являются его персональными данными и не подлежат публичному разглашению работодателем или третьими лицами, получившими доступ к этой информации. Данное положение подтверждено судебной практикой. В частности, в одном из дел системный администратор частной компании, получивший доступ к персональным данным коллег через программу 1С, стал распространять информацию о повышении зарплаты одного из менеджеров. Раскрытие размера зарплаты было признано грубым нарушением трудовых обязательств и послужило основанием для его увольнения (см. апелляционное определение Московского городского суда от 14.06.2016 по делу №33-22906/2016).

Следует учитывать, что персональными данными считается не только зарплата, но и другие данные сотрудников, а также клиентов компании. Последние, являясь ценным активом для бизнеса, также подпадают под действие режима коммерческой тайны, пояснила “Ъ” руководитель практики интеллектуального и информационного права юридической группы «Яковлев и Партнеры» Анна Никитова. При этом сам по себе неправомерный доступ к просмотру карточек клиентов или сотрудников не может являться основанием для увольнения. Такие последствия влечет только установление факта их разглашения. Судебная практика знает случаи, когда разглашением была признана отправка информации на электронную почту, в мессенджеры или копирование на съемный носитель. Данная позиция подтверждена и Конституционным судом (см. определение КС РФ от 28.02.2019 №457-О).

По общему правилу обработка персональных данных должна осуществляться с согласия субъекта. Перечень исключений, при которых согласие не требуется, содержится в ч. 1 ст. 6 закона:

— обработка персональных данных необходима для достижения целей, предусмотренных международным договором или законом;

— обработка осуществляется в связи с участием лица в судопроизводстве, необходима для исполнения судебного акта;

— необходима для исполнения полномочий госорганов;

— необходима для заключения или исполнения договора, стороной, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— необходима для защиты жизни, здоровья, иных жизненно важных интересов лица, если получение его согласия невозможно;

— для осуществления прав и законных интересов оператора (организация или лицо, занимающееся обработкой данных) или третьих лиц, либо для достижения общественно значимых целей;

— для осуществления профессиональной деятельности журналиста и (или) СМИ, научной, литературной или иной творческой деятельности;

— осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных;

данные являются общедоступными (например, справочники, адресные книги);

— данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В ст. 10, 11 перечисляются основания, при которых можно без получения согласия обрабатывать специальные категории персональных данных и биометрические данные.

Нет, не являются. Закон действительно не требует получать согласие на обработку общедоступных данных. Однако российские суды пришли к выводу, что размещение персональных данных в открытых онлайн-ресурсах не делает их автоматически общедоступными.

Читайте так же:  Кбк судебные расходы

Примером может послужить дело Национального бюро кредитных историй против регионального управления Роскомнадзора. Организация собирала данные о потенциальных заемщиках из соцсетей и других открытых интернет-источников («ВКонтакте», «Одноклассники», «Мой Мир», Twitter, Instagram, Avito, Avto.ru) без получения согласия пользователей, что ведомство посчитало нарушением. Суд встал на сторону Роскомнадзора, эту позицию подтвердили все вышестоящие инстанции вплоть до Верховного суда (см. постановление Арбитражного суда Московского округа от 9 ноября 2017 года по делу №А40–5250/2017, определение ВС РФ от 29 января 2018 года по делу №305-КГ17–21291)

Ст. 9 ФЗ «О персональных данных» допускает возможность вместо письменного согласия дать его в форме электронного документа и подписать электронной подписью. Получение согласия по телефону или с помощью СМС-сообщений законом не предусмотрено.

Как следует из разъяснений Роскомнадзора в отношении интернет-магазинов, при заполнении формы заявки на покупку товара на сайте критерием, свидетельствующим о получении оператором согласия на обработку персональных данных, является файл электронной цифровой подписи.

Да, но на это также нужно получить согласие лица, чьи данные обрабатываются. В частности, интересным представляется случай привлечения к административной ответственности крупной медийной компании, передававшей на обработку третьему лицу персональные данные соискателей на вакантные должности без получения у них соответствующего согласия. Арбитражные суды встали на сторону Роскомнадзора, посчитавшего такую практику нарушением закона (см. постановление Арбитражного суда Московского округа от 15.01.2018 №Ф05–18981/2017 по делу №А40–81171/17–149–793).

Да, закон дает лицу такую возможность без каких-либо дополнительных условий. Данные подлежат уничтожению в срок до 30 дней.

В настоящее время уже завершена разработка поправок в ст. 21 закона, призванных унифицировать правила уничтожения персональных данных после завершения обработки либо отзыва согласия на их обработку. В случае их одобрения Госдумой конкретные требования будут разработаны Роскомнадзором.

Ст. 14 закона «О персональных данных» дает лицу право получать подтверждение самого факта обработки его данных, информацию об источнике данных, целях и способах обработки, сроках, операторе (наименование и место нахождения), работающем с данными.

Эти права могут быть ограничены при обстоятельствах, перечисленных в п. 8 ст. 14. В частности, если персональные данные получены в результате оперативно-разыскной, разведывательной или контрразведывательной деятельности, используются для противодействия легализации доходов или противодействия финансированию терроризма, субъект подозревается или обвиняется в совершении уголовного преступления и прочее.

Как пояснил партнер юридической фирмы Law & Commerce Offer Антон Алексеев, в качестве наиболее частых можно выделить следующие правонарушения:

1. Неполучение у гражданина согласия на обработку его персональных данных;

2. Неполучение согласия на передачу его персональных данных для обработки третьим лицам;

3. Неполучение согласия на трансграничную (за пределы РФ) передачу персональных данных;

4. Неполучение согласия на обработку биометрических персональных данных;

5. Нарушение правил и требований к обработке (хранение, передача, защита, уничтожение и т. д.) персональных данных.

Российское законодательство предусматривает разные виды ответственности — дисциплинарную, административную, уголовную.

Cт. 81 Трудового кодекса допускает дисциплинарное наказание вплоть до увольнения работника за разглашение персональных данных другого работника. Как работник, так и работодатель могут также понести материальную ответственность за ненадлежащее обращение с персональными данными.

Ст. 13.11. КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» предусматривает административные штрафы за различные нарушения при их обработке. В частности, в не предусмотренных законом случаях (до 50 тыс. руб. для организаций); в целях, не совместимых с целями сбора (до 50 тыс.); без согласия (до 75 тыс. руб.); без использования баз данных, находящихся в России (до 6 млн руб., за повторное нарушение до 18 млн руб.). Также предусматривается административная ответственность за неисполнение оператором обязанностей при взаимодействии с Роскомнадзором.

Ст. 137 УК РФ предусматривает наказание за нарушение неприкосновенности частной жизни, ст. 272 УК РФ — за неправомерный доступ к охраняемой законом компьютерной информации, повлекшей ее уничтожение, блокирование, модификацию либо копирование. Нарушителям могут грозить различные санкции вплоть до двух лет лишения свободы.

Большая часть нарушений квалифицируется по административным статьям. Один из свежих примеров привлечения к административной ответственности — 29 января 2020 года суд оштрафовал университет «Синергия» на 150 тыс. руб. за неправомерный сбор биометрических персональных данных несовершеннолетних в образовательном учреждении Красногорска.

По закону пострадавшее лицо может добиваться возмещения не только материального ущерба, но и морального вреда. В частности, Верховный суд подтвердил возможность гражданина требовать взыскания с коллекторского агентства, неоднократно звонившего и отправлявшего СМС на его мобильный номер с требованием «в грубой форме» погасить задолженность по кредиту, не получив согласия на обработку его персональных данных (см. определение №5-КГ17–256 от 27.02.2018).

Как отметил старший юрист группы технологий и инвестиций юридической фирмы Vegas Lex Дмитрий Бородин, существующая судебная практика не позволяет гражданам рассчитывать на значительные суммы. Обычный размер возмещения составляет 3–5 тыс. руб. К примеру, в одном подобном деле гражданин пожаловался в суд на администратора группы «ВКонтакте» в связи незаконным опубликованием его персональных данных в соцсети. Суд присудил истцу 5 тыс. руб. вместо требуемых 100 тыс., даже несмотря на то, что персональные данные были опубликованными в порочащем честь гражданина ключе (Определение Кемеровского областного суда от 19.07.2018 по делу №33-7157/2018).

Поправки в закон, предусматривающие, что хранение и обработка персональных данных россиян в интернете может производиться только с использованием баз данных, находящихся на территории России, вступили в силу 1 сентября 2015 года. До сих пор самым серьезным последствием их принятия стала блокировка на территории России соцсети LinkedIn, отказавшейся выполнять требование о локализации. По данным на 2016 год в ней было зарегистрировано около 5 млн россиян. (см. Определение Мосгорсуда от 10.11.2016 по делу №33–38783/2016).

Претензии в части локализации данных Роскомнадзор предъявлял и другим крупным соцсетям — Twitter и Facebook. Однако в их отношении надзорный орган ограничился штрафами в размере 3 тыс. руб. Положение о миллионных штрафах за несоблюдение требований о локализации баз данных было внесено в КоАП РФ позже, лишь в декабре 2019 года. 31 января 2020 года Роскомнадзор возбудил в отношении обеих компаний новое административное производство за непредоставление информации о локализации.

Видео (кликните для воспроизведения).

Источник: http://www.kommersant.ru/doc/4241072

Понятие персональных данных защита персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here